Google đã tung ra các bản sửa lỗi để giải quyết một loạt chín vấn đề bảo mật trong trình duyệt Chrome của mình, bao gồm cả zero-day mới đã được khai thác trong tự nhiên.
Được gán mã định danh CVE CVE-2024-4947, lỗ hổng liên quan đến lỗi nhầm lẫn kiểu trong công cụ JavaScript và WebAssembly V8. Thông tin này được các nhà nghiên cứu Vasily Berdnikov và Boris Larin của Kaspersky báo cáo vào ngày 13/5/2024.
Lỗ hổng nhầm lẫn loại phát sinh khi một chương trình cố gắng truy cập tài nguyên có loại không tương thích. Nó có thể có tác động nghiêm trọng vì nó cho phép các tác nhân đe dọa thực hiện truy cập bộ nhớ ngoài giới hạn, gây ra sự cố và thực thi mã tùy ý.
Sự phát triển này đánh dấu zero-day thứ ba mà Google đã vá trong vòng một tuần sau CVE-2024-4671 và CVE-2024-4761.
Như thường lệ, không có chi tiết bổ sung nào về các cuộc tấn công có sẵn và đã được giữ lại để ngăn chặn việc khai thác thêm. "Google nhận thức được rằng một lỗ hổng cho CVE-2024-4947 tồn tại trong tự nhiên", công ty cho biết.
Với CVE-2024-4947, tổng cộng bảy zero-day đã được Google giải quyết trong Chrome kể từ đầu năm -
- CVE-2024-0519 - Truy cập bộ nhớ ngoài giới hạn trong V8
- CVE-2024-2886 - Sử dụng miễn phí trong WebCodecs (được trình diễn tại Pwn2Own 2024)
- CVE-2024-2887 - Nhầm lẫn kiểu trong WebAssembly (được trình bày tại Pwn2Own 2024)
- CVE-2024-3159 - Truy cập bộ nhớ ngoài giới hạn trong V8 (được trình diễn tại Pwn2Own 2024)
- CVE-2024-4671 - Sử dụng miễn phí trong Hình ảnh
- CVE-2024-4761 - Ghi ngoài giới hạn trong V8
Người dùng nên nâng cấp lên phiên bản Chrome 125.0.6422.60/.61 dành cho Windows và macOS và phiên bản 125.0.6422.60 dành cho Linux để giảm thiểu các mối đe dọa tiềm ẩn.
Người dùng các trình duyệt dựa trên Chromium như Microsoft Edge, Brave, Opera và Vivaldi cũng nên áp dụng các bản sửa lỗi khi chúng có sẵn.