Chrome vá lỗ hổng đang bị khai thác trong thực tế

Google vừa đưa ra bản vá cho lỗ hổng zero-day thứ 5 trên Chrome (tính từ đầu năm 2023) đang bị khai thác trong các cuộc tấn công.  

Lỗ hổng tồn tại trong Google Chrome 117.0.5938.132, được triển khai trên toàn thế giới cho người dùng Windows, Mac và Linux trong kênh Stable Desktop. Trình duyệt web sẽ tự động kiểm tra và cài đặt bản cập nhật mới sau lần khởi chạy tiếp theo. 

Lỗ hổng zero-day có mức nghiêm trọng cao (CVE-2023-5217), là vấn đề tràn bộ đệm heap trong mã hóa VP8 của thư viện codec video libvpx nguồn mở.  

Lỗ hổng được nhà nghiên cứu bảo mật Clément Lecigne của Google TAG báo cáo hôm 25/9. Các chuyên gia cho biết, CVE-2023-5217 đã bị khai thác để cài đặt phần mềm gián điệp. 

Google xác nhận về việc CVE-2023-5217 bị khai thác trong các cuộc tấn công thực tế nhưng không chia sẻ thêm thông tin về sự cố. 

Hai tuần trước, Google đã vá một lỗi zero-day khác (mã theo dõi CVE-2023-4863) bị khai thác trong thực tế. Lỗ hổng sau đó được xếp hạng lại mức nghiêm trọng (10/10) và gán một CVE khác (CVE-2023-5129). 

Nguồn: Bleeping Computer