Google công bố thêm một lỗ hổng Chrome đang bị khai thác thực tế

Google vừa cập nhật bản vá cho lỗ hổng zero-day trên Chrome có mã theo dõi CVE-2024-7965. Đây là lỗ hổng đang bị khai thác thực tế thứ 10 của phần mềm trong năm 2024.

Google mô tả lỗ hổng là vấn đề triển khai không phù hợp trong công cụ JavaScript V8 của Chrome, cho phép những kẻ tấn công từ xa khai thác lỗi heap thông qua một trang HTML độc hại.

Tuần trước Google đã sửa một lỗ hổng zero-day nghiêm trọng khác (CVE-2024-7971) do vấn đề nhầm lẫn loại V8 gây ra.

Hãng vá cả hai lỗi zero-day nói trên trong Chrome phiên bản 128.0.6613.84/.85 cho hệ thống Windows/macOS và phiên bản 128.0.6613.84 cho người dùng Linux, đã triển khai cho tất cả người dùng trong kênh Stable Desktop.

Mặc dù Chrome sẽ tự động cập nhật khi có bản vá, người dùng cũng có thể tăng tốc quá trình này bằng việc nâng cấp thủ công: vào menu Chrome > Trợ giúp > Giới thiệu về Google Chrome, để bản cập nhật hoàn tất và nhấp vào nút ‘Khởi chạy lại’ để cài đặt.

Google xác nhận rằng các lỗ hổng CVE-2024-7971 và CVE-2024-7965 đã bị khai thác thực tế, nhưng không chia sẻ thêm thông tin về các cuộc tấn công.

Nguồn: Bleeping Computer