Google đã phát hành bản cập nhật ngoài chu kỳ để giải quyết lỗ hổng zero-day đang bị khai thác nhiều trên trình duyệt web Chrome, trở thành lỗi zero-day đầu tiên được giải quyết kể từ đầu năm nay.

Lỗ hổng có độ nghiêm trọng cao có mã CVE-2023-2033, được mô tả là một vấn đề nhầm lẫn loại trong engine JavaScript V8. Clement Lecigne của nhóm phân tích mối đe dọa của Google (TAG) được ghi nhận đã báo cáo vấn đề vào ngày 11 tháng 4 năm 2023.

"Theo cơ sở dữ liệu lỗ hổng bảo mật quốc gia của NIST (NVD), "Sự nhầm lẫn loại trong V8 của Google Chrome trước phiên bản 112.0.5615.121 cho phép kẻ tấn công từ xa tiềm năng khai thác sự hỏng hóc của heap thông qua một trang HTML được tạo ra".

Công ty công nghệ đã thừa nhận rằng "một sự khai thác CVE-2023-2033 đã tồn tại trong thực tế," nhưng không chia sẻ thông tin kỹ thuật hoặc chỉ mục của sự tấn công để ngăn chặn các kẻ đe dọa tiếp tục khai thác.

CVE-2023-2033 cũng có vẻ tương tự như CVE-2022-1096, CVE-2022-1364, CVE-2022-3723 và CVE-2022-4262 - bốn lỗ hổng nhầm lẫn loại khác đang bị khai thác nhiều trong V8 đã được Google khắc phục vào năm 2022.

Google đã giải quyết tổng cộng chín lỗi zero-day trong Chrome năm ngoái. Sự phát triển này đến vài ngày sau khi Citizen Lab và Microsoft tiết lộ việc khai thác một lỗ hổng đã được vá trong Apple iOS bởi các khách hàng của một nhà cung cấp phần mềm gián điệp có tên QuaDream để tấn công các nhà báo, các nhân vật đối lập chính trị và người làm việc của tổ chức phi chính phủ vào năm 2021.

Người dùng được khuyến khích nâng cấp lên phiên bản 112.0.5615.121 cho Windows, macOS và Linux để giảm thiểu các mối đe dọa tiềm ẩn. Người dùng các trình duyệt dựa trên Chromium như Microsoft Edge, Brave, Opera và Vivaldi cũng được khuyến khích áp dụng các bản vá khi chúng được phát hành.