Ngày 15 tháng 4 năm 2023Ravie LakshmananNgày không / Bảo mật trình duyệt
Google vào thứ Sáu đã phát hành các bản cập nhật ngoài băng tần để giải quyết lỗ hổng zero-day được khai thác tích cực trong trình duyệt web Chrome của mình, khiến nó trở thành lỗi đầu tiên như vậy được xử lý kể từ đầu năm.
Được theo dõi dưới dạng CVE-2023-2033, lỗ hổng nghiêm trọng cao đã được mô tả là sự cố nhầm lẫn loại trong công cụ JavaScript V8. Clement Lecigne thuộc Nhóm phân tích mối đe dọa của Google (TAG) đã được ghi nhận là người đã báo cáo sự cố vào ngày 11 tháng 4 năm 2023.
“Nhập nhầm lẫn trong V8 trong Google Chrome trước 112.0.5615.121 cho phép kẻ tấn công từ xa có khả năng khai thác tham nhũng heap thông qua trang HTML được tạo”, theo cơ sở dữ liệu dễ bị tổn thương quốc gia của NIST (NVD).
Gã khổng lồ công nghệ thừa nhận rằng “có một lỗ hổng khai thác CVE-2023-2033 tồn tại trong tự nhiên”, nhưng không chia sẻ thêm các chi tiết kỹ thuật cụ thể hoặc các chỉ số thỏa hiệp (IoC) để ngăn chặn việc khai thác thêm bởi các tác nhân đe dọa.
CVE-2023-2033 dường như cũng có những điểm tương đồng với CVE-2022-1096, CVE-2022-1364, CVE-2022-3723 và CVE-2022-4262 – bốn lỗi nhầm lẫn loại bị lạm dụng tích cực khác trong V8 đã được Google khắc phục vào năm 2022.
Google đã đóng cửa tổng cộng chín ngày không trong Chrome vào năm ngoái. Sự phát triển diễn ra vài ngày sau khi Citizen Lab và Microsoft tiết lộ việc khách hàng của một nhà cung cấp phần mềm gián điệp mờ ám có tên QuaDream khai thác một lỗ hổng hiện đã được vá trong Apple iOS để nhắm mục tiêu vào các nhà báo, nhân vật đối lập chính trị và một nhân viên NGO vào năm 2021.
Người dùng nên nâng cấp lên phiên bản 112.0.5615.121 cho Windows, macOS và Linux để giảm thiểu các mối đe dọa tiềm ẩn. Người dùng các trình duyệt dựa trên Chromium như Microsoft Edge, Brave, Opera và Vivaldi cũng nên áp dụng các bản sửa lỗi khi chúng có sẵn.
