Chuyên gia bảo mật kêu gọi người dùng cập nhật Chrome ngay để vá lỗ hổng zero-day nguy hiểm này

Theo nhóm phân tích mối đe dọa (TAG) của Google, người dùng nên cập nhật ngay phiên bản mới nhất của trình duyệt Chrome để vá các lỗ hổng zero-day cực kỳ nguy hiểm này.

Lỗ hổng bảo mật mới nhất được TAG phân loại là CVE-2022-4135, sự cố gây tràn bộ nhớ đệm trong GPU có thể được kẻ xấu lợi dụng để chiếm quyền truy cập trái phép vào thông tin cá nhân, gây mất ổn định ứng dụng hoặc cung cấp quyền thực thi mã tùy ý trên máy tính mục tiêu.

Nhóm phân tích của Google đã thừa nhận lỗ hổng này trong bản cập nhật ôn định gần đây của Chrome và hiện đã được triển khai rộng rãi. Trong đó bao gồm các phiên bản Chrome 107.0.5304.121 cho máy tính Mac – Linux và Chrome 107.0.5304.121/.122 cho máy tính sử dụng hệ điều hành Windows.

[…] Thông tin chi tiết về lỗ hổng: Log – 107.0.5304.107..107.0.5304.122 – chromium/src – Git at Google

Tính đến thời điểm hiện tại, đây là lỗ hổng zero-day thứ 8 được phát hiện trên trình duyệt Chrome trong năm 2022 này. Bao gồm:

• CVE-2022-3723 – Sự cố nhập liệu V8
• CVE-2022-3075 – Xác thực dữ liệu không đủ trong Mojo
• CVE-2022-2856 – Xác thực không đầy đủ đối với các nguồn không đáng tin cậy
• CVE-2022-2294 – Tràn bộ nhớ đệm heap trong WebRTC
• CVE-2022-1364 – Sự cố nhập liệu V8
• CVE-2022-1096 – Sự cố nhập liệu V8
• CVE-2022-0609 – Lỗi hiệu ứng hoạt ảnh

Đối với lỗ hổng CVE-2022-4135, việc tràn bộ nhớ đệm heap sẽ cung cấp cho kẻ xấu khả năng tăng cường các con trỏ chức năng trong một ứng dụng, thay vì hướng chúng tới nơi chứa mã độc được triển khai. Nguyên nhân gây ra lỗi này là do việc ghi đè bộ nhớ đệm trong heap của bộ nhớ hệ thống.

Nguồn: Techrum