Hai hãng Google và Mozilla đã vá các công cụ internet của mình để chống lại một lỗ hổng bảo mật nghiêm trọng.
Google gần đây đã phát hành Bản cập nhật kênh ổn định mới cho trình duyệt web Chrome trên tất cả các hệ điều hành PC được hỗ trợ, bản cập nhật này được thiết kế để khắc phục lỗ hổng bảo mật bị khai thác tích cực. Hiện tại, thông tin chi tiết về lỗ hổng này vẫn chưa được biết, nhưng vấn đề này cũng ảnh hưởng đến các trình duyệt và ứng dụng khách Internet do các công ty khác phát triển.
Được theo dõi dưới dạng CVE-2023-4863, lỗi này được mô tả là tràn bộ đệm heap trong hỗ trợ WebP của Chrome trước phiên bản 116.0.5845.187. Kẻ tấn công từ xa có thể khai thác lỗ hổng để thực hiện ghi bộ nhớ bên ngoài bộ đệm được phân bổ thông qua trang HTML được tạo thủ công, điều này có thể dẫn đến việc thực thi mã tùy ý (và có thể độc hại).
Google ghi nhận công việc phân tích được thực hiện bởi các nhà nghiên cứu tại Apple Security Engineering and Architecture (SEAR) và The Citizen Lab tại Đại học Toronto, những người gần đây đã phát hiện ra một lỗ hổng zero-day khác bị NGO Group lạm dụng để cài đặt phần mềm gián điệp Pegasus trên các thiết bị iPhone và iPad. Google giải thích, CVE-2023-4863 là một lỗ hổng nghiêm trọng với cách khai thác đã được lưu hành “ngoài tự nhiên”.
Mountain View gần đây đã giới thiệu Cập nhật kênh ổn định như một cách để nhanh chóng cung cấp các bản cập nhật bảo mật quan trọng cho người dùng Chrome hàng tuần. CVE-2023-4863 là minh chứng trắng trợn cho thấy công ty đã làm điều đúng đắn. Lỗ hổng 0 ngày cũng ảnh hưởng đến trình duyệt web và các công cụ internet khác do Mozilla phát triển.
Nền tảng nguồn mở hoạt động đồng bộ với Google và Microsoft Vá chu kỳ thứ ba để cung cấp các bản cập nhật mới cho trình duyệt web Firefox (117.0.1, ESR 115.2.1, ESR 102.15.1) và ứng dụng thư Thunderbird (102.15.1, 115.2.2). Lời khuyên của Mozilla cũng thừa nhận Apple và The Citizen Lab đã báo cáo lỗ hổng bảo mật được tìm thấy trong thư viện codec WebP chính thức của Google (libwebp).
Mozilla giải thích, việc mở một hình ảnh WebP “độc hại” có thể dẫn đến tràn bộ đệm heap trong quá trình xử lý nội dung, với khả năng xảy ra sự cố hoặc thực thi mã tùy ý. Hiện tại, cả Mozilla và Google đều quyết định giữ kín thông tin chi tiết cụ thể về lỗi này vì các cuộc tấn công được tạo ra đặc biệt vẫn đang diễn ra và người dùng sẽ cần thời gian để tải xuống và cài đặt các bản cập nhật.
