Thông qua một bài đăng trên blog của công ty, Google cho biết một lỗ hổng Zero Day được phân loại ở mức nghiêm trọng cao (CVE-2022-0609) đã được tìm thấy trong tất cả các trình duyệt Chrome và nó đang bị hacker khai thác một cách công khai.
Bảy lỗ hổng khác, bao gồm 6 lỗ hổng được phân loại ở mức độ cao và 1 lỗ hổng được phân loại ở mức độ trung bình cũng được phát hiện trên trình duyệt, ảnh hưởng đến mọi hệ điều hành Windows, Mac và Linux.
Google đã lên tiếng cảnh báo về lỗ hổng nghiêm trọng đe doạ đến sự an toàn của 3,2 tỷ người dùng trình duyệt Chrome
Google giữ kín về chi tiết của các lỗ hổng và cho đến nay, đây là thông tin có sẵn về các lỗ hổng được sắp xếp theo thứ tự mức độ rủi ro:
1. Cao - CVE-2022-0603
2. Cao - CVE-2022-0604
3. Cao - CVE-2022-0605
4. Cao - CVE-2022-0606
5. Cao - CVE-2022-0607
6. Cao - CVE-2022-0608
7. Trung bình - CVE-2022-0610
Zero Day (hay 0 Day) là thuật ngữ để chỉ những lỗ hổng phần mềm hoặc phần cứng chưa được biết đến và chưa được khắc phục. Cụm từ "Zero Day" ám chỉ số ngày mà nhà phát triển phần mềm phát hiện ra cuộc tấn công khai thác lỗ hổng nghiêm trọng.
Theo Forbes, lỗ hổng Zero Day được hacker khai thác lần này là một lỗ hổng "Use-After-Free" (UAF), biến đây là hình thức hack thành công và phổ biến nhất khi hacker nhắm vào Chrome.
Use-After-Free (UAF) là một lỗ hổng liên quan đến việc sử dụng sai bộ nhớ động trong quá trình vận hành chương trình. Nếu sau khi giải phóng một vị trí bộ nhớ, một chương trình không xóa con trỏ đến bộ nhớ đó, kẻ tấn công có thể sử dụng lỗi để hack chương trình. Nó có thể được sử dụng để thực thi mã tùy ý hoặc thoát khỏi hộp cát bảo mật của trình duyệt.
Các vụ tấn UAF không chỉ chiếm 5 trong số 8 vụ tấn công được Google công bố mới đây, mà còn nâng tổng số vụ tấn công UAF trên Chrome thành công lên 26 vụ kể từ đầu năm
Bên cạnh các cuộc tấn công bằng cách khai thác lỗ hổng UAF, các cuộc tấn công theo cơ chế Heap overflow (một dạng lỗi tràn bộ đệm), cũng là nguyên nhân cho một cuộc tấn công thành công khác.
Còn được gọi là "Heap Smashing", lỗi tràn Heap xảy ra tại khu vực dữ liệu Heap – bộ phận thường để chứa dữ liệu của chương trình và được cấp phát tự động. Khi bị tràn, các cấu trúc dữ liệu quan trọng có thể bị ghi đè khiến nó trở thành mục tiêu lý tưởng cho hacker .
Google khuyến nghị người dùng Chrome nên cập nhật trình duyệt càng sớm càng tốt
Do đó, Google khuyến nghị người dùng Chrome nên cập nhật trình duyệt web của họ càng sớm càng tốt bản cập nhật Chrome 98.0.4758.102.
Để cập nhật Chrome, bạn hãy truy cập vào Menu (biểu tượng dấu 3 chấm) > Cài đặt > About Chrome, chờ trong giây lát để quá trình tải về bản cập nhật hoàn tất, sau đó nhấn Relaunch để khởi động lại trình duyệt. Ngoài ra, bạn cũng có thể gõ vào khung tìm kiếm dòng lệnh chrome://settings/help để tiến hành quá trình tải về và cập nhật phiên bản Chrome mới nhất.