Ngày 19 tháng 4 năm 2023Ravie LakshmananBảo mật trình duyệt / Zero-Day
Google hôm thứ Ba đã tung ra các bản sửa lỗi khẩn cấp để giải quyết một lỗ hổng zero-day có mức độ nghiêm trọng cao khác đang được khai thác tích cực trong trình duyệt web Chrome của mình.
Lỗ hổng, được theo dõi như CVE-2023-2136, được mô tả là trường hợp tràn số nguyên trong Skia, một thư viện đồ họa 2D mã nguồn mở. Clément Lecigne thuộc Nhóm phân tích mối đe dọa của Google (TAG) đã được ghi nhận là người đã phát hiện và báo cáo lỗ hổng vào ngày 12 tháng 4 năm 2023.
“Tràn số nguyên trong Skia trong Google Chrome trước 112.0.5615.137 cho phép kẻ tấn công từ xa đã xâm phạm quy trình kết xuất có khả năng thực hiện thoát hộp cát thông qua trang html được tạo”, theo Cơ sở dữ liệu dễ bị tổn thương quốc gia (NVD) của NIST.
Gã khổng lồ công nghệ, cũng đã khắc phục 7 vấn đề bảo mật khác với bản cập nhật mới nhất, cho biết họ biết về việc khai thác tích cực lỗ hổng, nhưng không tiết lộ chi tiết bổ sung để ngăn chặn việc lạm dụng thêm.
Sự phát triển này đánh dấu lỗ hổng zero-day thứ hai của Chrome bị các tác nhân độc hại khai thác trong năm nay và xuất hiện chỉ vài ngày sau khi Google vá CVE-2023-2033 vào tuần trước. Không rõ liệu hai zero-day có được xâu chuỗi lại với nhau như một phần của các cuộc tấn công tự nhiên hay không.
Người dùng nên nâng cấp lên phiên bản 112.0.5615.137 cho Windows, macOS và Linux để giảm thiểu các mối đe dọa tiềm ẩn. Người dùng các trình duyệt dựa trên Chromium như Microsoft Edge, Brave, Opera và Vivaldi cũng nên áp dụng các bản sửa lỗi khi chúng có sẵn.
