Google vừa tung một bản cập nhật ngoài dự kiến lịch trình nhằm giải quyết lỗ hổng zero-day được cho là đã bị tin tặc tích cực khai thác trong trình duyệt Chrome. Đây là lỗi nghiêm trọng đầu tiên của năm 2023 trên trình duyệt có thị phần lớn nhất thế giới hiện tại.

Lỗ hổng có tên là CVE-2023-2033 do Clement Lecigne thuộc Nhóm phân tích mối đe dọa của Google (TAG) báo cáo vào ngày 11/4/2023. Google TAG là nhóm chuyên gia có nhiệm vụ phát hiện và báo cáo lỗi zero-day bị khai thác trong các cuộc tấn công có chủ đích cao từ những tác nhân đe dọa do chính phủ tài trợ.

Lỗ hổng có mức độ nghiêm trọng cao, được mô tả là sự cố nhầm lẫn về loại trong công cụ JavaScript V8. Nhầm lẫn về loại trong V8 thuộc trình duyệt Google Chrome trước phiên bản 112.0.5615.121 cho phép kẻ tấn công từ xa có khả năng khai thác lỗi heap thông qua một trang HTML được tạo.

Dù lỗi này thường giúp kẻ tấn công gây ra sự cố trình duyệt khi khai thác thành công bằng cách đọc hoặc ghi dữ liệu ngoài giới hạn bộ đệm, nhưng hacker cũng có thể thực thi mã trên các thiết bị đã bị điều khiển. Mức độ nghiêm trọng cao của lỗ hổng này khiến Google cho biết quyền truy cập vào chi tiết lỗi sẽ bị hạn chế cho đến khi phần lớn người dùng được cập nhật bản vá.

Cũng không loại trừ khả năng Google sẽ tiếp tục hạn chế truy cập nội dung lỗi bảo mật này vì nó cũng nằm trong các thư viện của bên thứ ba hoặc các dự án phụ thuộc vào JavaScript V8 và chưa được vá.

Người dùng các trình duyệt dựa trên Chromium như Microsoft Edge, Brave, Opera và Vivaldi cũng nên áp dụng các bản sửa lỗi ngay khi được tung ra. Để kiểm tra phiên bản Google Chrome mới, từ trình duyệt người dùng vào Chrome > Help > About Google Chrome.