Google hôm thứ Năm đã tung ra các bản sửa lỗi để giải quyết một lỗ hổng bảo mật nghiêm trọng cao trong trình duyệt Chrome mà họ cho biết đã bị khai thác trong tự nhiên.
Được gán mã định danh CVE CVE-2024-5274, lỗ hổng liên quan đến lỗi nhầm lẫn kiểu trong công cụ JavaScript và WebAssembly V8. Nó được báo cáo bởi Clément Lecigne của Nhóm phân tích mối đe dọa của Google và Brendon Tiszka của Chrome Security vào ngày 20 tháng 5 năm 2024.
Loại nhầm lẫn lỗ hổng xảy ra khi một chương trình cố gắng truy cập vào một tài nguyên với một loại không tương thích. Nó có thể gây ra hậu quả nghiêm trọng vì nó cho phép các tác nhân đe dọa thực hiện truy cập bộ nhớ ngoài giới hạn, gây ra sự cố và thực thi mã tùy ý.
Sự phát triển này đánh dấu zero-day thứ tư mà Google đã vá kể từ đầu tháng sau CVE-2024-4671, CVE-2024-4761 và CVE-2024-4947.
Gã khổng lồ công nghệ không tiết lộ thêm chi tiết kỹ thuật về lỗ hổng, nhưng thừa nhận rằng họ "nhận thức được rằng một lỗ hổng cho CVE-2024-5274 tồn tại trong tự nhiên". Không rõ liệu thiếu sót có phải là bản vá cho CVE-2024-4947 hay không, đây cũng là một lỗi nhầm lẫn kiểu trong V8.
Với bản sửa lỗi mới nhất, Google đã giải quyết tổng cộng tám zero-day đã được Google giải quyết trong Chrome kể từ đầu năm -
- CVE-2024-0519 - Truy cập bộ nhớ ngoài giới hạn trong V8
- CVE-2024-2886 - Sử dụng miễn phí trong WebCodecs (được trình diễn tại Pwn2Own 2024)
- CVE-2024-2887 - Nhầm lẫn kiểu trong WebAssembly (được trình bày tại Pwn2Own 2024)
- CVE-2024-3159 - Truy cập bộ nhớ ngoài giới hạn trong V8 (được trình diễn tại Pwn2Own 2024)
- CVE-2024-4671 - Sử dụng miễn phí trong Hình ảnh
- CVE-2024-4761 - Ghi ngoài giới hạn trong V8
- CVE-2024-4947 - Loại nhầm lẫn trong V8
Người dùng nên nâng cấp lên phiên bản Chrome 125.0.6422.112/.113 cho Windows và macOS và phiên bản 125.0.6422.112 cho Linux để giảm thiểu các mối đe dọa tiềm ẩn.
Người dùng các trình duyệt dựa trên Chromium như Microsoft Edge, Brave, Opera và Vivaldi cũng nên áp dụng các bản sửa lỗi khi chúng có sẵn.