Trong thông báo chính thức của đội quản lý chương trình kỹ thuật Google, lỗ hổng xuất hiện trong thành tố nhận diện giọng nói của trình duyệt web Chrome và được gọi tên CVE-2020-6457. Sự cố được các nhà nghiên cứu tại phòng thí nghiệm Qihoo 360 Alpha báo cho Google vào ngày 4.4.
Theo Forbes, nếu kẻ xấu dụ thành công nạn nhân vào một website độc hại nào đó, lỗ hổng “Use after free” (loại lỗi bảo mật cho phép kẻ xấu tấn công sau khi người dùng tương tác với phần mềm độc hại) sẽ được kích hoạt, gây tràn bộ nhớ.
Điều này sẽ dẫn tới các hiểm họa trên máy tính khi kẻ tấn công có thể thực thi mã chiếm quyền trên hệ thống. Do tiềm ẩn khả năng để lại hậu quả nghiêm trọng, Google xếp loại đây là vấn đề an ninh cấp bách.
Tới nay chưa có báo cáo liên quan tới hành vi khai thác hay thiệt hại thực tế do CVE-2020-6457 gây ra. Phía Google cũng lập tức có bản cập nhật bảo mật vá lỗi dành cho trình duyệt web Chrome trước khi công khai sự cố và sẽ phát hành trong vài ngày tới, dành cho cả 3 nền tảng Windows, macOS và Linux.
Người dùng có thể thực hiện kiểm tra thủ công phiên bản Chrome đang sử dụng trong phần Help > About Google Chrome. Phiên bản Chrome an toàn sẽ là 81.0.4044.113. Việc kiểm tra này cũng kích hoạt tính năng tự động cập nhật của trình duyệt (nếu vẫn đang ở phiên bản cũ. Sau khi nâng cấp xong, người dùng cần khởi động lại Chrome để giữ thiết bị an toàn tuyệt đối trước lỗ hổng CVE-2020-6457.