Google vừa gấp rút phát hành một bản cập nhật bảo mật quan trọng cho người dùng Chrome trên hệ điều hành Windows, Mac và Linux để giải quyết lỗ hổng zero-day mới. Lỗ hổng này có mã định danh CVE-2023-6345, được đội ngũ Threat Analysis Group của Google phát hiện vào ngày 24 tháng 11. Quy trình khai thác vẫn chưa được công khai cũng như mô tả chi tiết để tránh bị kẻ xấu lợi dụng. Tuy nhiên, đây được cho là một vấn đề liên quan đến tràn số nguyên ảnh hưởng đến Skia, thư viện đồ họa 2D mã nguồn mở được sử dụng trong công cụ đồ họa của Chrome.
Tuy nhiên, điều khiến lỗ hổng trở nên tồi tệ nằm ở thực tế là nó hiện đang bị khai thác ngoài thực tế chứ không chỉ mới nằm trong “phòng nghiên cứu” của Google. Vì vậy, việc công ty cần phải có hành động xử lý ngay lập tức là hoàn toàn hợp lý. Mặc dù CVE-2023-6345 mới chỉ được phát hiện và báo cáo chính thức vào tuần trước, nhưng vẫn chưa rõ lỗ hổng này đã bị khai thác ngoài tự nhiên trong bao lâu trước khi Google phát hiện ra, cũng như mức độ thiệt hại mà nó đã gây ra.
Việc khai thác lỗ hổng cho phép kẻ tấn công thực hiện hành vi thoát khỏi sandbox thông qua tệp độc hại, một phương pháp có thể lây nhiễm mã độc vào hệ thống và xâm phạm dữ liệu nhạy cảm của người dùng. Do đó, lỗ hổng này được đánh giá mở mức độ nghiêm trọng cao có thể cho phép tin tặc truy cập dữ liệu cá nhân từ xa và thực thi mã độc, có khả năng dẫn đến đánh cắp dữ liệu.
Google đang tự động tung ra bản cập nhật cho tất cả các trình duyệt Chrome, vì vậy nếu bạn chưa có bản cập nhật này thì nên lưu ý. Bản sửa lỗi được bao gồm trong Chrome 119.0.6045.199 dành cho Mac và Linux, và 119.0.6045.199/.200 dành cho Windows. Bạn cũng có thể kiểm tra các bản cập nhật trong Google Chrome theo cách thủ công. Quá trình triển khai vẫn đang diễn ra, vì vậy có thể bạn sẽ phải đợi thêm một thời gian trước khi nhận được bản cập nhật.