Cập nhật trình duyệt Google Chrome để vá lỗi khai thác Zero-Day mới được phát hiện trong tự nhiên

Ngày 05 tháng 7 năm 2022Ravie Lakshmanan

Google hôm thứ Hai đã gửi các bản cập nhật bảo mật để giải quyết lỗ hổng zero-day nghiêm trọng trong trình duyệt web Chrome mà hãng cho biết đang bị khai thác ngoài thực tế.

Sự thiếu sót, được theo dõi như CVE-2022-2294liên quan đến lỗ hổng tràn heap trong thành phần WebRTC cung cấp khả năng giao tiếp âm thanh và video thời gian thực trong trình duyệt mà không cần cài đặt plugin hoặc tải xuống ứng dụng gốc.

Tràn bộ đệm heap, còn được gọi là tràn heap hoặc phá vỡ heap, xảy ra khi dữ liệu bị ghi đè trong vùng heap của bộ nhớ, dẫn đến thực thi mã tùy ý hoặc tình trạng từ chối dịch vụ (DoS).

MITER giải thích: “Tràn dựa trên heap có thể được sử dụng để ghi đè lên các con trỏ hàm có thể đang tồn tại trong bộ nhớ, trỏ nó tới mã của kẻ tấn công”. “Khi hậu quả là thực thi mã tùy ý, điều này thường có thể được sử dụng để phá hoại bất kỳ dịch vụ bảo mật nào khác.”

Jan Vojtesek từ nhóm Avast Threat Intelligence được ghi nhận là người đã báo cáo lỗ hổng vào ngày 1 tháng 7 năm 2022. Điều đáng nói là lỗi này cũng ảnh hưởng đến phiên bản Chrome dành cho Android.

Như thường xảy ra với khai thác zero-day, các chi tiết liên quan đến lỗ hổng cũng như các chi tiết cụ thể khác liên quan đến chiến dịch đã được giữ lại để ngăn chặn việc lạm dụng thêm trong tự nhiên và cho đến khi một lượng lớn người dùng được cập nhật bản sửa lỗi.

CVE-2022-2294 cũng đánh dấu việc giải quyết lỗ hổng zero-day thứ tư trong Chrome kể từ đầu năm –

Người dùng nên cập nhật lên phiên bản 103.0.5060.114 cho Windows, macOS và Linux và 103.0.5060.71 cho Android để giảm thiểu các mối đe dọa tiềm ẩn. Người dùng các trình duyệt dựa trên Chromium như Microsoft Edge, Brave, Opera và Vivaldi cũng nên áp dụng các bản sửa lỗi khi chúng có sẵn.

Tiết lộ này ngay sau một báo cáo từ Google Project Zero, trong đó lưu ý rằng tổng cộng 18 lỗ hổng bảo mật đã bị khai thác dưới dạng lỗ hổng zero-day chưa được vá trong năm nay.