Google vá một lỗ hổng zero-day khác được khai thác tích cực khác của Chrome

   Google đã tung ra các bản sửa lỗi để giải quyết một loạt chín vấn đề bảo mật trong trình duyệt Chrome của mình, bao gồm cả zero-day mới đã được khai thác trong tự nhiên. Được gán mã định danh CVE  CVE-2024-4947 , lỗ hổng liên quan đến lỗi nhầm lẫn kiểu trong công cụ JavaScript và WebAssembly V8. Thông tin này được các nhà nghiên cứu Vasily Berdnikov và Boris Larin của Kaspersky báo cáo vào ngày 13/5/2024. Lỗ hổng nhầm lẫn loại  phát sinh khi một chương trình cố gắng truy cập tài nguyên có loại không tương thích. Nó có thể có  tác động nghiêm trọng  vì nó cho phép các tác nhân đe dọa thực hiện truy cập bộ nhớ ngoài giới hạn, gây ra sự cố và thực thi mã tùy ý. Sự phát triển này đánh dấu zero-day thứ ba mà Google đã vá trong vòng một tuần sau  CVE-2024-4671  và  CVE-2024-4761 . Như thường lệ, không có chi tiết bổ sung nào về các cuộc tấn công có sẵn và đã được giữ lại để ngăn chặn việc khai thác thêm. "Google nhận thức được rằng một lỗ hổng cho CVE-2024-4947 tồn tại trong tự nhiên", công ty  cho biết . Với CVE-2024-4947, tổng cộng bảy zero-day đã được Google giải quyết trong Chrome kể từ đầu năm - CVE-2024-0519  - Truy cập bộ nhớ ngoài giới hạn trong V8 CVE-2024-2886  - Sử dụng miễn phí trong WebCodecs (được trình diễn tại Pwn2Own 2024) CVE-2024-2887  - Nhầm lẫn kiểu trong WebAssembly (được trình bày tại Pwn2Own 2024) CVE-2024-3159  - Truy cập bộ nhớ ngoài giới hạn trong V8 (được trình diễn tại Pwn2Own 2024) CVE-2024-4671  - Sử dụng miễn phí trong Hình ảnh CVE-2024-4761  - Ghi ngoài giới hạn trong V8 Người dùng nên nâng cấp lên phiên bản Chrome 125.0.6422.60/.61 dành cho Windows và macOS và phiên bản 125.0.6422.60 dành cho Linux để giảm thiểu các mối đe dọa tiềm ẩn. Người dùng các trình duyệt dựa trên Chromium như Microsoft Edge, Brave, Opera và Vivaldi cũng nên áp dụng các bản sửa lỗi khi chúng có sẵn.