Theo MacRumors, Google đã phát hành bản cập nhật bảo mật quan trọng cho Chrome trên macOS, Windows và Linux nhằm khắc phục lỗ hổng zero-day đang bị khai thác tích cực. Trong bản cập nhật của Chrome, Google nói họ “biết rằng lỗ hổng CVE-2023-6345 đang tồn tại trên thực tế”.
Trình duyệt Chrome tồn tại lỗ hổng zero-day nghiêm trọng
Được các nhà nghiên cứu bảo mật trong nhóm Threat Analysis Group (TAG) của Google phát hiện vào tuần trước, lỗ hổng mới được cho là có liên quan đến thư viện đồ họa 2D mã nguồn mở Skia trong công cụ đồ họa của Chrome. Hiện Google chưa cung cấp thêm thông tin chi tiết về cách mà lỗ hổng CVE-2023-6345 đang bị khai thác vì không muốn đánh động các tác nhân xấu.
Theo ghi chú của bản cập nhật 119.0.6045.199 dành cho macOS, việc khai thác cho phép một hoặc nhiều kẻ tấn công “có khả năng thực hiện hành động thoát khỏi sand-box thông qua một tệp độc hại”, về mặt lý thuyết có thể dẫn đến việc chúng thực thi mã tùy ý và đánh cắp dữ liệu.
Theo mặc định, trình duyệt Chrome sẽ tự động cập nhật khi phiên bản mới khả dụng. Tuy nhiên, người dùng cũng nên thực hiện thao tác cập nhật thủ công ngay lập tức để tránh rủi ro do việc khai thác zero-day gây ra. Trong cài đặt Chrome, nhấp vào tab About Chrome và bấm Update Google Chrome. Nếu không có tùy chọn để cập nhật thì bạn đã được nâng cấp lên phiên bản mới nhất.
Trong năm nay, Google đã sửa được sáu lỗ hổng zero-day, trong đó có hai lỗ hổng cũng bị lạm dụng và đã được xử lý vào tháng 9 là CVE-2023-5217 và CVE-2023-4863.
