Google tuần này đã phát hành bản cập nhật cho trình duyệt Chrome vá 8 lỗ hổng, bao gồm các lỗ hổng được báo cáo bởi các nhà nghiên cứu bên ngoài.
5 lỗ hổng được xác định là use-after-free – loại lỗ hổng liên quan an toàn bộ nhớ phổ biến trong Chrome trong những năm qua và Google đã nỗ lực để loại bỏ chúng trong thời gian dài.
Theo khuyến nghị của Google, 4 trong số những lỗ hổng này có mức độ nghiêm trọng cao, ảnh hưởng đến các thành phần như Blink Media, Mojo IPC, Blink Frames và Aura.
Các lỗ hổng đã được cấp mã định danh CVE từ CVE-2022-4436 đến CVE-2022-4440. Google cho biết họ đã trả 17.500 đô la tiền thưởng cho các nhà nghiên cứu báo cáo lỗ hổng, nhưng số tiền cuối cùng có thể cao hơn, vì chỉ có 4 trong số 5 số tiền thưởng được tiết lộ.
Bản phát hành trình duyệt Chrome mới nhất hiện đang được tung ra cho người dùng Mac và Linux dưới dạng phiên bản 108.0.5359.124 và cho người dùng Windows dưới dạng phiên bản 108.0.5359.124/.125.
Google không đề cập đến bất kỳ lỗ hổng nào trong số này bị khai thác trong các cuộc tấn công. Cho đến nay, đã có 9 lỗ hổng zero-day trên Chrome được ghi lại vào năm 2022 .
Kẻ tấn công có thể khai thác lỗ hổng use-after-free để crash ứng dụng, làm hỏng dữ liệu hoặc thực thi mã tùy ý trên máy. Trong Chrome, các lỗi use-after-free có thể được sử dụng kết hợp các lỗ hổng khác để vượt qua cơ chế sandbox của trình duyệt.
Trong vài năm qua, Google cho thấy các nỗ lực nhằm loại bỏ các lỗ hổng liên quan an toàn bộ nhớ trong cả Android và Chrome, đồng thời gần đây họ cũng đã công bố các biện pháp bảo vệ được cải thiện để chống lại việc khai thác các lỗ hổng đó.