-
06/04/2022
-
24
-
41 bài viết
Google khắc phục một lỗi zero-day khác của Chrome
Google đã phát hành các bản cập nhật khẩn cấp để giải quyết lỗ hổng zero-day thứ tư trong Chrome (CVE-2023-4863) bị khai thác trong các cuộc tấn công kể từ đầu năm nay.
Phiên bản mới hiện đang được triển khai cho người dùng trên các kênh chính thức của Google, ước tính phiên bản này sẽ tiếp cận được tới toàn bộ người dùng trong vài ngày tới.
Người dùng Chrome nên nâng cấp trình duyệt web của mình lên phiên bản 116.0.5845.187 (Mac hoặc Linux) và 116.0.5845.187/.188 (Windows) càng sớm càng tốt, vì nó đã cập nhật bản vá cho lỗ hổng CVE-2023-4863 trên các hệ điều hành.
Bản cập nhật này hiện đã có sẵn trên trình duyệt Chrome khi người dùng tự kiểm tra thông qua Menu > Trợ giúp > Giới thiệu về Google Chrome.
Trình duyệt web cũng sẽ kiểm tra các bản cập nhật mới và tự động cài đặt chúng mà không yêu cầu người dùng tương tác sau khi khởi động lại.
Mặc dù Google cho biết lỗ hổng zero-day CVE-2023-4863 đã bị khai thác một cách lộ liễu nhưng công ty vẫn chưa chia sẻ thêm thông tin chi tiết về các cuộc tấn công này.
Google cho biết: “Thông tin chi tiết về lỗ hổng và các đường dẫn liên quan có thể bị hạn chế cho đến khi phần lớn người dùng được cập nhật bản sửa lỗi”. “Chúng tôi cũng sẽ không chia sẻ thêm thông tin nếu lỗi tồn tại trong thư viện của bên thứ ba mà các dự án khác cũng phụ thuộc tương tự nhưng vẫn chưa được sửa.”
Người dùng Chrome có thể cập nhật trình duyệt để ngăn chặn các cuộc tấn công trước khi Google phát hành các chi tiết kỹ thuật bổ sung để giảm thiểu rủi ro sau này.
Phiên bản mới hiện đang được triển khai cho người dùng trên các kênh chính thức của Google, ước tính phiên bản này sẽ tiếp cận được tới toàn bộ người dùng trong vài ngày tới.
Người dùng Chrome nên nâng cấp trình duyệt web của mình lên phiên bản 116.0.5845.187 (Mac hoặc Linux) và 116.0.5845.187/.188 (Windows) càng sớm càng tốt, vì nó đã cập nhật bản vá cho lỗ hổng CVE-2023-4863 trên các hệ điều hành.
Bản cập nhật này hiện đã có sẵn trên trình duyệt Chrome khi người dùng tự kiểm tra thông qua Menu > Trợ giúp > Giới thiệu về Google Chrome.
Trình duyệt web cũng sẽ kiểm tra các bản cập nhật mới và tự động cài đặt chúng mà không yêu cầu người dùng tương tác sau khi khởi động lại.
Chi tiết về cuộc tấn công vẫn chưa được công bố
Lỗ hổng zero-day nghiêm trọng (CVE-2023-4863) lợi dụng điểm yếu về lỗi tràn bộ đệm của WebP để gây ra các tác động từ việc từ chối dịch vụ cho đến thực thi mã tùy ý.Mặc dù Google cho biết lỗ hổng zero-day CVE-2023-4863 đã bị khai thác một cách lộ liễu nhưng công ty vẫn chưa chia sẻ thêm thông tin chi tiết về các cuộc tấn công này.
Google cho biết: “Thông tin chi tiết về lỗ hổng và các đường dẫn liên quan có thể bị hạn chế cho đến khi phần lớn người dùng được cập nhật bản sửa lỗi”. “Chúng tôi cũng sẽ không chia sẻ thêm thông tin nếu lỗi tồn tại trong thư viện của bên thứ ba mà các dự án khác cũng phụ thuộc tương tự nhưng vẫn chưa được sửa.”
Người dùng Chrome có thể cập nhật trình duyệt để ngăn chặn các cuộc tấn công trước khi Google phát hành các chi tiết kỹ thuật bổ sung để giảm thiểu rủi ro sau này.
Nguồn: Bleeping Computer