Google đã phát hành bản cập nhật bảo mật khẩn cấp nhằm khắc phục lỗ hổng bảo mật zero-day mới xuất hiện trong Chrome. “Google biết rằng lỗ hổng trong CVE-2023-4863 đã bị khai thác từ bên ngoài”, công ty thông báo trong một tư vấn bảo mật. Sự cố được mô tả là tràn bộ đệm heap, tồn tại ở định dạng hình ảnh WebP. "
Tràn bộ đệm heap xảy ra khi một chương trình cố gắng ghi nhiều dữ liệu vào bộ nhớ đệm được phân bổ hơn dung lượng thiết kế thực tế của bộ đệm. Trong một số trường hợp, lỗ hổng này có thể cho phép kẻ tấn công thực thi mã tùy ý, nghĩa là chúng có thể chạy mã tùy ý trên hệ thống bị ảnh hưởng.
Kiến trúc và Kỹ thuật Bảo mật của Apple (SEAR) và Munk của Đại học Toronto School Citizen Lab đã phát hiện và báo cáo lỗ hổng này vào ngày 6 tháng 9 năm 2023. Tuy nhiên, Google không tiết lộ chi tiết về lỗ hổng hoặc cung cấp thông tin về cách kẻ tấn công có thể khai thác lỗ hổng này.
Người dùng trình duyệt Chrome đặc biệt nên cập nhật trình duyệt của mình lên phiên bản mới nhất là 116.0.5845.187 cho Mac và Linux và 116.0.5845.187.188. dành cho Windows. Bản cập nhật này rất quan trọng vì nó giải quyết lỗ hổng CVE-2023-4863
Phiên bản mới hiện đang được triển khai cho người dùng ở các kênh Ổn định và Mở rộng và có thể được triển khai cho tất cả người dùng trong những ngày hoặc tuần tới. Bản cập nhật có sẵn để tải xuống khi chúng tôi kiểm tra bản cập nhật mới thông qua Menu Chrome > Trợ giúp > Giới thiệu về Google Chrome trên PC chạy Windows.
Lỗ hổng mới nhất xuất hiện sau khi Google thông báo vào tháng 8 rằng họ sẽ phát hành bản cập nhật bảo mật hàng tuần cho người dùng trình duyệt Chrome ổn định. Công ty cho biết nếu một lỗ hổng bảo mật được phát hiện đang bị khai thác rộng rãi, công ty sẽ nhanh chóng giải quyết và phát hành các bản vá đột xuất cho trình duyệt Chrome.