Google phát hiện lỗ hổng khai thác Chrome trong Zero-Day thứ hai, vài ngày sau khi vá một lỗi khác
(Ảnh của Jaap Arriens/NurPhoto qua Getty Images)
Tin tặc đã bị phát hiện lạm dụng một lỗ hổng nghiêm trọng khác trong Chrome, vài ngày sau khi Google vá một lỗ hổng “zero day” riêng biệt trong trình duyệt đang được khai thác tích cực.
Vào thứ ba, Google đã phát hành một bản tin an ninh(Mở ra trong một cửa sổ mới) đã đề cập đến lỗ hổng Chrome mới được phát hiện, CVE-2023-2136, đã được xếp hạng “mức độ nghiêm trọng cao”.
“Google biết rằng một khai thác cho CVE-2023-2136 tồn tại trong tự nhiên,” công ty cảnh báo.
Không có nhiều chi tiết về lỗ hổng. Hiện tại, Google mô tả nó là “tràn số nguyên” liên quan đến công cụ đồ họa Skia nguồn mở, được Chrome sử dụng.
Báo cáo CVE chính thức thêm(Mở ra trong một cửa sổ mới) rằng việc khai thác lỗ hổng “cho phép kẻ tấn công từ xa đã xâm phạm quy trình kết xuất đồ họa có khả năng thực hiện thoát hộp cát thông qua trang HTML được tạo thủ công”. Điều này có thể mở đường cho tin tặc truy cập vào các quy trình điện toán bổ sung để chạy mã độc không đáng tin cậy trên máy tính, có khả năng lây nhiễm.
Mặc dù thiếu thông tin chi tiết, nhưng có thể lỗ hổng này đã được khai thác song song với một lỗ hổng zero-day khác mà Google đã vá vào thứ Sáu tuần trước, có tên là CVE-2023-2033, liên quan đến một lỗi trong công cụ JavaScript V8 cho trình duyệt.
Công ty đã phát hiện ra cả hai lỗ hổng thông qua Clément Lecigne, một nhà nghiên cứu bảo mật thuộc nhóm Nhóm phân tích mối đe dọa của Google, chuyên theo dõi các nhóm hack đáng sợ nhất và phát hiện ra các lỗ hổng zero-day. Điều thú vị là Lecigne đã phát hiện ra CVE-2023-2033 vào ngày 11 tháng 4 và sau đó là CVE-2023-2136 vào ngày 12 tháng 4.
Cả hai lỗ hổng cũng có thể bị khai thác thông qua các trang HTML được tạo đặc biệt. Dù không liên quan hay không, điều này cho thấy hai lỗ hổng đã được sử dụng trong các cuộc tấn công liên quan đến việc cung cấp các trang HTML độc hại cho nạn nhân, có thể thông qua các tin nhắn lừa đảo.
May mắn thay, Google đã nhanh chóng tiến hành vá cả hai lỗ hổng khi phát hiện ra. Công ty đã chuẩn bị một bản vá cho CVE-2023-2136 sẽ được tung ra cho người dùng ngay bây giờ. Bản sửa lỗi sẽ đến dưới dạng phiên bản Chrome 112.0.5615.137.
Nút cập nhật Chrome sẽ xuất hiện ở góc trên bên phải của trình duyệt khi có phiên bản mới. Nếu không, hãy chuyển đến tab “Giới thiệu về Chrome” để tự động nhận bản cập nhật hoặc truy cập trang web của Google trang hỗ trợ(Mở ra trong một cửa sổ mới) về cách tải xuống các bản vá lỗi.
Giống như những gì bạn đang đọc?
Đăng ký cho an ninhxem bản tin về các câu chuyện bảo mật và quyền riêng tư hàng đầu của chúng tôi được gửi ngay đến hộp thư đến của bạn.
Bản tin này có thể chứa các liên kết quảng cáo, giao dịch hoặc liên kết. Đăng ký nhận bản tin cho biết bạn đồng ý với Điều khoản sử dụng Và Chính sách bảo mật. Bạn có thể hủy đăng ký nhận bản tin bất cứ lúc nào.
Cảm ơn bạn đã đăng ký!
Đăng ký của bạn đã được xác nhận. Theo dõi hộp thư đến của bạn!
Đăng ký nhận các bản tin khác
No Comments