Google vá lỗi Chrome để giải quyết vụ khai thác nguy hiểm trong 0 ngày
Google đã không lãng phí thời gian trong việc ngăn chặn một đợt khai thác zero-day khác với bản vá thứ tư của Chrome năm 2022.
Vào ngày 4 tháng 7 năm 2022, Google đã phát hành một bản vá để giải quyết mối đe dọa của CVE-2022-2294, một lỗ hổng bảo mật được tìm thấy trong trình duyệt web Chrome của họ.
Google đã tuyên bố rằng bản cập nhật mới này (phiên bản 103.0.5060.114) sẽ có sẵn cho tất cả người dùng Chrome trên toàn cầu trong vòng vài tuần. Và người dùng đã được khuyến cáo cập nhật phần mềm của họ và cài đặt “bản sửa lỗi bảo mật quan trọng” này càng sớm càng tốt để tránh trở thành nạn nhân của lỗ hổng này.
Mục Lục
Đây là Ngày không có Chrome thứ tư vào năm 2022
Mặc dù lỗ hổng CVE-2022-2294 hiện đang được khai thác, Google vẫn chưa công bố nhiều thông tin về cách phát hiện nó. Công ty chỉ đăng một bản cập nhật nhanh trên Blog bản phát hành của Google Chrome.
Lỗ hổng CVE-2022-2294 đã bị các bên độc hại khai thác và chỉ được phát hiện khi Jan Vojtesek từ nhóm Avast Threat Intelligence báo cáo lỗ hổng này vào ngày 1 tháng 7.
Mối đe dọa này có liên quan đến lỗ hổng tràn đống trong thành phần Giao tiếp thời gian thực trên web (Web RTC) của Chrome, cung cấp cho trình duyệt khả năng giao tiếp trong thời gian thực. Còn được gọi là “heap smashing” hoặc “heap overruns”, điểm yếu này trong tự nhiên có thể dẫn đến các cuộc tấn công từ chối dịch vụ (DoS) có hại.
Thông tin về lỗ hổng bảo mật có thể đã được giữ lại để ngăn chặn tội phạm mạng tìm hiểu quá nhiều về nó. Nhưng chúng tôi biết rằng đây là lỗ hổng zero-day thứ tư được vá trong năm nay. Những điểm yếu trước đây bao gồm:
- CVE-2022-0609 (ngày 14 tháng 2)
- CVE-2022-1096 (ngày 25 tháng 3)
- CVE-2022-1364 (ngày 14 tháng 4)
Cập nhật Google Chrome càng sớm càng tốt
Bởi vì khai thác zero-day cụ thể này (khai thác zero-day là gì?) Có mức độ nghiêm trọng cao về mặt rủi ro, nên ưu tiên cập nhật trình duyệt Chrome của bạn.
Nếu đang sử dụng thiết bị chạy macOS, Linux hoặc WIndows, bạn nên tải xuống phiên bản 103.0.5060.114. Nếu bạn đang sử dụng thiết bị hỗ trợ Android, bạn nên cập nhật lên phiên bản 103.0.5060.71.
Trong hầu hết các trường hợp, Chrome sẽ tự động cài đặt bản cập nhật này, nhưng sẽ không làm như vậy nếu tính năng cập nhật tự động của bạn bị tắt. Kiểm tra cài đặt trình duyệt của bạn để xác minh xem bạn có được đặt để cập nhật tự động hay không hoặc bạn có cần cài đặt phiên bản Chrome mới nhất theo cách thủ công hay không.
Khả năng khai thác không ngày trong tương lai luôn là một khả năng
Khi thời gian trôi qua, chúng ta có thể thấy các lỗ hổng zero-day trong tương lai xuất hiện trong trình duyệt web của Chrome. Mặc dù điều này sẽ luôn là một rủi ro, nhưng các phản hồi nhanh chóng của Google hy vọng sẽ giảm thiểu bất kỳ thiệt hại nào do những kẻ xấu lợi dụng loại điểm yếu này gây ra.