Lỗ hổng zero-day mới được phát hiện trong trình duyệt Chrome có tên CVE-2024-4671, nằm trong thành phần Visuals của Chrome và thuộc loại “Use-After-Free” (UAF). Đây là một lỗi bảo mật xảy ra khi một chương trình cố gắng truy cập hoặc sử dụng một vùng bộ nhớ đã được giải phóng. Lỗi này có thể dẫn đến nhiều hậu quả nghiêm trọng như rò rỉ bộ nhớ, kẻ tấn công có thể thực thi mã tùy ý, v.v.
Google vừa tung bản cập nhật mới cho Chrome, giúp vá lỗ hổng zero-day thứ 5 mà hãng mới phát hiện cách đây ít lâu.
Như vậy, đây là lỗ hổng zero-day thứ 5 được phát triển trong trình duyệt Chrome từ đầu năm đến nay. Trước đó, hãng đã công bố 4 lỗ hổng bảo mật nghiêm trọng gồm: CVE-2024-0519, là lỗ hổng này cho phép kẻ tấn công truy cập thông tin nhạy cảm của người dùng bằng cách khai thác công cụ JavaScript của Chrome; Lỗ hổng CVE-2024-2887, nằm trong tiêu chuẩn WebAssembly có thể cho phép kẻ tấn công chạy mã độc hại trên máy tính của nạn nhân; Lỗ hổng CVE-2024-2886 tồn tại trong API WebCodecs, cho phép hacker chạy mã độc hại trên máy tính của nạn nhân và cuối cùng là lỗ hổng CVE-2024-3159 có trong công cụ JavaScript của Chrome, cho phép hacker truy cập vào các thông tin nhạy cảm của người dùng.
Lỗ hổng bảo mật mới trên Chrome được đánh giá có mức độ nghiêm trọng cao và được báo cáo bởi một nhà nghiên cứu ẩn danh vào đầu tháng 5/2024. Như vậy, chỉ trong một thời gian ngắn, Google đã sẵn sàng cho một bản vá bảo mật kịp thời.
Với lỗ hổng bảo mật zero-day thứ 5 được công bố đang dấy lên hoài nghi, số lượng lỗ hổng bảo mật trong trình duyệt này có thể còn tồn tại một số lượng khác các lỗ hổng chưa được phát hiện, vì vậy cũng chưa có các bản vá. Các chuyên gia của hãng và các công ty an ninh mạng cũng đang nỗ lực để tìm kiếm và đưa ra ánh sáng các lỗ hổng còn tiềm ẩn này.
Đáng tiếc, khả năng Google sẽ không chia sẻ chi tiết thông tin về lỗ hổng mới cho đến khi nhiều người cập nhật bản vá.
Theo các chuyên gia, người dùng các trình duyệt dựa trên mã nguồn mở Chromium như Microsoft Edge, Brave, Opera và Vivaldi cũng nên áp dụng các bản cập nhật mới ngay khi chúng có sẵn để đảm bảo an toàn cho thiết bị và các thông tin cá nhân có liên quan.
Nếu tin tặc tấn công vào lỗ hổng zero-day, chúng có thể chiếm quyền điều khiển thiết bị, gây ra thiệt hại khôn lường với người dùng.
Nhiều người sẽ không để ý tới việc Chrome có được cập nhật bản vá mới nhất hay không. Tuy nhiên, đây là thông tin quan trọng và họ cần nâng cấp trình duyệt của mình nhanh nhất để tránh khả năng trở thành mục tiêu của tin tặc.
