Google vừa phải phát hành phiên bản Chrome 86.0.4240.183 dành cho Windows, Mac và Linux để khắc phục một lỗ hổng zero-day cho phép hacker thực thi mã từ xa (RCE). Theo Google, lỗ hổng này đang bị các hacker khai thác một cách tích cực.
Được gắn mã số CVE-2020-16009, lỗ hổng zero-day mới này được báo cáo bởi Clement Lecigne thuộc Nhóm Phân tích Mối đe dọa của Google và Samuel Groß của nhóm Google Project Zero vào ngày 29/10/2020.
CVE-2020-16009 xuất phát từ một lỗi triển khai không phù hợp trong V8, engine JavaScript và WebAssembly hiệu suất cao dựa trên mã nguồn mở và C++ của Google. Mặc dù cho biết đã nắm được thông tin về việc CVE-2020-16009 đã bị hacker khai thác tích cực nhưng Google lại không chia sẻ chi tiết về các cuộc tấn công.
Google nói rằng họ sẽ chỉ cung cấp thông tin chi tiết về CVE-2020-16009 sau khi phần lớn người dùng cập nhật Chrome 86.0.4240.183.
Bên cạnh CVE-2020-16009, Chrome 86.0.4240.183 cũng vá một lỗ hổng zero-day khác trên Chrome dành cho Android. Mang mã số CVE-2020-16010, lỗ hổng này liên quan tới sandbox và cũng đã bị hacker khai thác.
CVE-2020-16009 là lỗ hổng zero-day đã bị khai thác thứ hai được Google vá trong vòng hai tuần qua. Trước đó là một lỗ hổng zero-day tràn bộ đệm heap nằm trong thư viện kết xuất văn bản FreeType.
Tuần trước, nhóm săn lỗi zero-day Project Zero của Google cũng đã công bố một lỗ hổng zero-day nằm trong nhân của hệ điều hành Windows. Mang mã lỗi CVE-2020-17087, lỗ hổng này ảnh hưởng tới tất cả các phiên bản Windows từ Windows 7 tới Windows 10 và đang bị hacker khai thác tích cực.
Chrome 86.0.4240.183 còn vá sáu lỗ hổng bảo mật khác gồm: CVE-2020-16004, CVE-2020-16005, CVE-2020-16006, CVE-2020-16007, CVE-2020-16008 và CVE-2020-16011.
Google khuyến cáo người dùng nên cài đặt sớm bản cập nhật Chrome 86.0.4240.183 bằng cách truy cập Cài đặt => Trợ giúp => Giới thiệu về Google Chrome.