Google cho biết bản vá được tung ra khẩn cấp ngày 11-12 sau khi phát hiện “một khai thác đang tồn tại ngoài thực tế”. Công ty xếp mức độ nguy hiểm của lỗ hổng ở cấp “cao”, song chưa tiết lộ bản chất cụ thể.
Đây là điều hiếm gặp bởi Google thường công bố loại lỗ hổng trước khi giữ lại chi tiết kỹ thuật nhằm tránh bị lợi dụng.
Hiện lỗ hổng mới chỉ được định danh bằng mã tạm thời 466192044 vì Google vẫn đang phối hợp với các cơ quan an ninh mạng để cấp mã CVE. Các dấu hiệu ban đầu cho thấy một nhà nghiên cứu an ninh đã phát hiện vụ tấn công nhắm vào người dùng thật rồi báo cáo cho Google.
Trang The Hacker News liên hệ mã tạm thời này với một lỗi được ghi nhận trong dự án Chromium, nghi liên quan đến ANGLE - bộ chuyển lệnh đồ họa mà Chrome dùng để xử lý hiển thị trên Windows.
Báo cáo trên GitHub gợi ý đây có thể là một lỗi tràn bộ đệm, dạng lỗ hổng có thể khiến ứng dụng sập hoặc bị lợi dụng để thực thi mã độc.
Google chưa phản hồi yêu cầu bình luận, nên chưa rõ bản vá lần này có liên quan trực tiếp đến ANGLE hay không.
Bản cập nhật hiện có trên Chrome phiên bản 143.0.7499.109 và 143.0.7499.110 cho Windows và Mac; đối với Linux là 143.0.7499.109. Google cho biết bản vá sẽ tiếp tục được triển khai trong những ngày tới.
Người dùng có thể cập nhật thủ công bằng cách vào Cài đặt > Giới thiệu về Chrome; Khởi động lại sau khi tải xong phiên bản mới. Trình duyệt cũng có thể tự động cập nhật nếu người dùng mở lại Chrome.
Microsoft cho biết đang chuẩn bị một bản vá tương tự cho trình duyệt Edge vốn dùng chung nền tảng Chromium. Hãng xác nhận “đang có khai thác tồn tại ngoài thực tế” và cam kết sớm phát hành bản sửa lỗi.
