Đúng một tháng sau khi vá một lỗ hổng zero-day được khai thác tích cực trong Chrome, Google hôm nay đã tung ra các bản sửa lỗi cho một lỗ hổng zero-day khác trên trình duyệt web phổ biến nhất thế giới mà hãng cho rằng đang bị lạm dụng một cách hoang dã (ngôn từ thật thí vị, nhưng đúng vậy).

Chrome 89.0.4389.72, được phát hành bởi gã khổng lồ tìm kiếm cho Windows, Mac và Linux vào thứ Ba, đi kèm với tổng số 47 bản sửa lỗi bảo mật, trong đó nghiêm trọng nhất liên quan đến “vấn đề vòng đời đối tượng audio”

Lỗi được theo dõi là CVE-2021-21166 là một trong hai lỗi bảo mật được Alison Huffman thuộc bộ phận Nghiên cứu lỗ hổng trình duyệt của Microsoft báo cáo vào tháng trước vào ngày 11 tháng 2. Một lỗ hổng vòng đời đối tượng audio riêng biệt đã được báo cáo cho Google vào ngày 4 tháng 2, cùng ngày phiên bản ổn định của Chrome 88 có sẵn.

Không có chi tiết bổ sung hai thiếu sót bảo mật có liên quan đến nhau hay không.

Google thừa nhận rằng việc khai thác lỗ hổng bảo mật tồn tại trong tự nhiên nhưng đã ngừng chia sẻ các chi tiết cụ thể hơn để cho phép đa số người dùng cài đặt các bản sửa lỗi và ngăn chặn các tác nhân đe dọa khác tạo ra các hoạt động khai thác nhắm mục tiêu vào ngày 0 này.

“Google đã biết về các báo cáo rằng việc khai thác CVE-2021-21166 tồn tại trong tự nhiên”, Giám đốc chương trình kỹ thuật của Chrome, Prudhvikumar Bommana cho biết .

Đây là lỗ hổng zero-day thứ hai được Google giải quyết trong Chrome kể từ đầu năm.

Vào ngày 4 tháng 2, công ty đã đưa ra bản sửa lỗi cho lỗi tràn bộ đệm heap được khai thác tích cực (CVE-2021-21148) trong công cụ kết xuất JavaScript V8 của mình.

Ngoài ra, năm ngoái, Google đã giải quyết năm Chrome zero-days bị khai thác tích cực trong khoảng thời gian một tháng từ ngày 20 tháng 10 đến ngày 12 tháng 11.

Người dùng Chrome có thể cập nhật lên Chrome 89 bằng cách đi tới Cài đặt> Trợ giúp> Giới thiệu về Google Chrome để giảm thiểu rủi ro liên quan đến lỗi.