Cách đây không lâu, thông qua một bài đăng trên blog công ty, Google cho biết một lỗ hổng Zero Day được phân loại ở mức nghiêm trọng cao (CVE-2022-0609) đã được tìm thấy trong tất cả các trình duyệt Chrome và đang bị hacker khai thác một cách công khai.
“Những kẻ tấn công thường khai thác các lỗ hổng để thực thi mã tùy ý trên máy tính được cài đặt trình duyệt Google Chrome đời cũ”, Google nói thêm.
Zero Day (hay 0 Day) là thuật ngữ để chỉ những lỗ hổng phần mềm hoặc phần cứng chưa được biết đến và chưa được khắc phục. Cụm từ "Zero Day" ám chỉ số ngày mà nhà phát triển phần mềm phát hiện ra cuộc tấn công khai thác lỗ hổng nghiêm trọng.
Bảy lỗ hổng khác, bao gồm 6 lỗ hổng được phân loại ở mức độ cao và 1 lỗ hổng được phân loại ở mức độ trung bình cũng được phát hiện trên trình duyệt, ảnh hưởng đến mọi hệ điều hành Windows, Mac và Linux.
Thông tin chi tiết về lỗ hổng zero-day CVE-2022-0609 không được tiết lộ và cho đến nay, đây là thông tin có sẵn về các lỗ hổng được sắp xếp theo thứ tự mức độ rủi ro:
1. CVE-2022-0603 – Mức độ cao
2. CVE-2022-0604 – Mức độ cao
3. CVE-2022-060 – Mức độ cao
4. CVE-2022-0606 – Mức độ cao
5. CVE-2022-0607 – Mức độ cao
6. CVE-2022-0608 – Mức độ cao
7. CVE-2022-0610 – Mức độ Trung bình
Theo Forbes, lỗ hổng Zero Day được hacker khai thác lần này là một lỗ hổng "Use-After-Free" (UAF), biến đây là hình thức hack thành công và phổ biến nhất khi hacker nhắm vào Chrome.
Use-After-Free (UAF) là một lỗ hổng liên quan đến việc sử dụng sai bộ nhớ động trong quá trình vận hành chương trình. Nếu sau khi giải phóng một vị trí bộ nhớ, một chương trình không xóa con trỏ đến bộ nhớ đó, kẻ tấn công có thể sử dụng lỗi để hack chương trình. Nó có thể được sử dụng để thực thi mã tùy ý hoặc thoát khỏi hộp cát bảo mật của trình duyệt.
Bên cạnh các cuộc tấn công bằng cách khai thác lỗ hổng UAF, các cuộc tấn công theo cơ chế Heap overflow (một dạng lỗi tràn bộ đệm), cũng là nguyên nhân cho một cuộc tấn công thành công khác còn được gọi là "Heap Smashing".
Lỗi tràn Heap xảy ra tại khu vực dữ liệu Heap – bộ phận thường để chứa dữ liệu của chương trình và được cấp phát tự động. Khi bị tràn, các cấu trúc dữ liệu quan trọng có thể bị ghi đè khiến nó trở thành mục tiêu lý tưởng cho hacker.
Để đảm bảo an toàn, Google khuyến nghị người dùng Chrome nên cập nhật trình duyệt web của họ càng sớm càng tốt bản cập nhật Chrome 98.0.4758.102.
Để cập nhật Chrome, bạn hãy truy cập vào Menu (biểu tượng dấu 3 chấm) > Cài đặt > About Chrome, chờ trong giây lát để quá trình tải về bản cập nhật hoàn tất, sau đó nhấn Relaunch để khởi động lại trình duyệt. Ngoài ra, bạn cũng có thể gõ vào khung tìm kiếm dòng lệnh chrome://settings/help để tiến hành quá trình tải về và cập nhật phiên bản Chrome mới nhất.
Bản cập nhật Chrome mới được Google giới thiệu sẽ giúp vá lỗ hổng zero-day đồng thời khắc phục 7 lỗ hổng bảo mật khác, trong đó có một lỗ hổng được phân loại ở mức nghiêm trọng cao.
