Người dùng cần cập nhật Chrome ngay lập tức. Ảnh: Security Week
Trong bài viết đăng ngày 18/4 trên blog, Google xác nhận phát hiện ra 4 lỗ hổng bảo mật nghiêm trọng trong trình duyệt Chrome, trong đó lỗ hổng ký hiệu CVE-2023-2136 thuộc loại được phát hiện lần đầu, chưa từng được công bố trước đây (zero-day).
Khác với các lỗ hổng zero-day xuất hiện gần đây, CVE-2023-2136 không nhắm mục tiêu vào công cụ Javascript V8 của trình duyệt. Google xác định vấn đề là “tràn số nguyên trong Skia” - công cụ đồ họa cho Chrome.
Tràn số nguyên xảy ra khi một giá trị số nguyên được tăng lên quá lớn, vượt mức lưu trữ, ảnh hưởng đến tính bảo mật và có thể bị khai thác.
Nhóm phân tích mối đe dọa của Google phát hiện ra lỗ hổng mới nhưng chưa có bản vá nào trước khi xuất hiện báo cáo đầu tiên về việc CVE-2023-2136 bị khai thác.
Khi công bố chính thức, Google phát hành một phiên bản Chrome mới vá lỗi CVE-2023-2136 cùng với 3 lỗ hổng nghiêm trọng khác.
Để kích hoạt cập nhật, người dùng cần nhấp vào thanh menu mục bổ sung (ba dấu chấm dọc) ở góc trên cùng bên phải của trình duyệt, sau đó nhấp vào Trợ giúp > Giới thiệu về Google Chrome.
Thao tác này sẽ yêu cầu Chrome kiểm tra các bản cập nhật trình duyệt. Sau khi cập nhật hoàn tất, bạn khởi động lại trình duyệt để được bảo vệ hoàn toàn.
Một ngày sau khi tung ra bản vá, thời gian đủ để phần lớn người dùng cập nhật trình duyệt, Google đã công bố thêm chi tiết kỹ thuật về các lỗ hổng.
Theo Forbes, Google là công ty thường xuyên công bố các lỗ hổng zero-day trong sản phẩm của họ. Nhiều người có thể nghĩ hoạt động này khiến cho Chrome kém an toàn. Tuy nhiên, kết quả ngược lại.
Chrome dựa trên nhân Chromium, cũng như nhiều trình duyệt đối thủ khác. Các lỗ hổng bảo mật tương tự cũng ảnh hưởng đến tất cả biến thể này, nhưng chỉ có Google là công bố chúng một cách nhất quán.
