Google tung bản vá bảo mật khẩn cấp cho Chrome, người dùng lưu ý!

Sau thời gian dài chờ đợi, phiên bản Chrome 103 cuối cùng cũng đã được Google triển khai trên kênh Stable vài tuần trước, đi kèm với một loạt tính năng mới đã được mong đợi từ lâu. Tuy nhiên, vẫn còn đó một loạt lỗ hổng bảo mật nghiêm trọng chưa được khắc phục.

Để giải quyết vấn đề, Google vừa tiếp tục tung ra một bản cập nhật bảo mật khẩn cấp khác cho trình duyệt của mình để khắc phục một số vấn đề đã biết, bao gồm cả một lỗ hổng zero-day được đánh giá ở mức nghiêm trọng, đang bị hacker khai thác tích cực.

Cụ thể, người dùng Chrome trên Windows đã bắt đầu được cập nhật lên phiên bản 103.0.5060.114, đi kèm với 4 bản sửa lỗi bảo mật, ba trong số đó đã được Google nêu ra:

• CVE-2022-2294 (nghiêm trọng): Tràn bộ đệm trong WebRTC. Được báo cáo bởi chuyên gia bảo mật Jan Vojtesek từ đội ngũ Avast Threat Intelligence vào ngày 01-07-2022
• CVE-2022-2295 (nghiêm trọng): Nhập nhầm lẫn trong V8. Được báo cáo bởi avaue và Buff3tts đến từ S.S.L. vào ngày 16-06-2022
• CVE-2022-2296 (nghiêm trọng): Lỗ hổng trong Chrome OS Shell. Được báo cáo bởi Khalil Zhani vào ngày 19-05-2022

Lỗ hổng có mức độ nghiêm trọng cao đầu tiên trong danh sách - CVE-2022-2294 - là một zero-day. Và do đó, Google vẫn chưa tiết lộ công khai chi tiết về nó. Trong khi các cá nhân có công báo cáo lỗ hổng thứ hai và thứ ba đều đã nhận được các khoản thưởng lần lượt là 7.500 đô la và 3.000 đô la tương ứng từ Google.

Tất nhiên Chrome dành cho Windows không phải là phiên bản duy nhất nhận được bản vá lỗi này. Ứng dụng Chrome dành cho Android cũng đã được cập nhật bản vá 103.0.5060.71 khắc phục các lỗ hổng CVE-2022-2294 và CVE-2022-2295. Trong khi đó, kênh Extended Stable của Chrome - vẫn có trên phiên bản 102 - dành cho Windows và Mac cũng đã được cập nhật bản và 102.0.5005.148 để sửa lỗi CVE-2022-2294.