Microsoft Edge và Google Chrome cùng nhận bản vá lỗ hổng bảo mật khẩn cấp

Theo lịch trình, các bản cập nhật lớn cho Google Chrome và Microsoft Edge sẽ được phát hành định kỳ sau mỗi bốn tuần. Tuy nhiên trong một vài trường hợp khẩn cấp, cũng sẽ có các bản vá nhỏ được phát hành ngoài kế hoạch nhằm khắc phục gấp sự cố hiệu suất và đặc biệt là lỗ hổng bảo mật. Lần này, cả Edge và Chrome đều đã đồng loạt nhận được bản vá khẩn cấp để giải quyết một lỗ hổng bảo mật tương đối nghiêm trọng được phát hiện trong nhân Chromium.

Lỗ hổng này hiện đang được theo dõi với mã định danh CVE-2022-1096. Nhưng điều đáng nói là có rất ít thông tin về nó được tiết lộ công khai tính đến thời điểm hiện tại. Trung tâm phản hồi bảo mật của Microsoft (MSRC) đã mô tả đây chỉ đơn giản là một sự cố "Type Confusion in V8".

Đối với những người không biết, V8 là công cụ JavaScript được sử dụng trong Chromium. Công ty Redmond nhấn mạnh thêm rằng việc lạm dụng lỗ hổng này cũng đang được ghi nhận trong tự nhiên, và đồng thời Google cũng đã biết về điều này. Do đó, một bản sửa lỗi đã nhanh chóng được triển khai trong Chromium 99.0.4844.84, và tích hợp trong Edge 99.0.1150.55. Người dùng có thể nhấp vào nút ba chấm ở trên cùng bên phải của giao diện Edge và điều hướng đến mục Help and feedback > About Microsoft Edge để kích hoạt bản cập nhật theo cách thủ công.

Giống Microsoft, Google cũng không mô tả quá chi tiết về lỗ hổng này, nhưng có một vài thông tin có sẵn. Vấn đề đã được gắn thẻ với mức độ nghiêm trọng là "High", và được báo cáo đầu tiên vào ngày 23 tháng 3 bởi một chuyên gia bảo mật giấu tên. Vì nó đang tồn tại trong tự nhiên và có vẻ là một lỗ hổng khá nghiêm trọng, Google đã tung ra bản bản vá Chromium khá nhanh, cũng như ngay lập tức phát hành bản sửa lỗi cho Chrome.

Do vẫn còn nhiều “khuất tất” xung quanh lỗ hổng, không loại trừ khả năng nó có thể ảnh hưởng đến các phiên bản Chromium cũ hơn. Có lẽ Google muốn vá lỗi xong xuôi trước khi công bố thêm thông tin chi tiết về vấn đề trong thời gian thích hợp.