Google phát hành bản cập nhật khẩn cấp để vá lỗ hổng Chrome
Google vừa phát hành bản cập nhật bảo mật khẩn cấp nhằm khắc phục lỗ hổng bảo mật zero-day trên trình duyệt Chrome với được phát hiện.
Trong tuyên bố của mình, Google cho biết họ phát hiện lỗ hổng bảo mật CVE-2023-4863 đang tồn tại và được mô tả là sự cố tràn bộ đệm heap nằm ở định dạng hình ảnh WebP.
Để hiểu rõ hơn, lỗi tràn bộ đệm heap xảy ra khi một chương trình cố gắng ghi nhiều dữ liệu vào bộ nhớ đệm được phân bổ hơn bộ đệm thực sự được thiết kế để chứa. Trong một số trường hợp nhất định, lỗ hổng này có thể cho phép kẻ tấn công thực thi mã tùy ý, nghĩa là chúng có thể chạy mã mà chúng chọn trên hệ thống bị ảnh hưởng.
Google ghi nhận công lao của Apple Security Engineering and Architecture (SEAR) và Citizen Lab tại Đại học Toronto vì đã phát hiện và báo cáo lỗ hổng vào ngày 6/9/2023. Tuy nhiên, Google đã hạn chế tiết lộ thông tin chi tiết về lỗi, đồng thời không cung cấp thông tin về cách những kẻ tấn công có thể khai thác lỗ hổng.
Người dùng Chrome được khuyến khích cập nhật trình duyệt web của họ lên phiên bản mới nhất, Chrome 116.0.5845.187 cho Mac và Linux và Chrome 116.0.5845.187.188 cho Windows. Bản cập nhật này rất cần thiết vì nó giải quyết lỗ hổng CVE-2023-4863.
Chương trình cơ sở mới hiện đang được triển khai cho người dùng ở các kênh Stable và Extended stable trước khi đến tay mọi người trong những ngày hoặc tuần tới. Bản cập nhật có sẵn để tải xuống khi người dùng kiểm tra các bản cập nhật mới trên PC Windows thông qua menu Chrome > Trợ giúp > Giới thiệu về Chrome.
Lỗ hổng mới nhất xuất hiện sau khi Google công bố vào tháng 8 rằng họ sẽ phát hành bản cập nhật bảo mật hàng tuần cho người dùng kênh Stable của Chrome. Công ty cho biết họ sẽ nhanh chóng giải quyết và phát hành bản vá đột xuất cho Chrome nếu phát hiện thấy lỗ hổng bảo mật đang được khai thác rộng rãi.