Lỗ hổng zero-day (CVE-2022-4135) được báo cáo bởi nhà nghiên cứu Clement Lecigne thuộc Nhóm phân tích mối đe dọa (TAG) của Google vào ngày 22-11, liên quan đến việc tràn bộ đệm trong thành phần GPU.
Lỗi tràn bộ đệm có thể được các tác nhân đe dọa tận dụng để làm sập chương trình hoặc thực thi mã tùy ý, dẫn đến các hành vi ngoài ý muốn.
Công ty cho biết họ đã nhận thức được vấn đề, đồng thời thừa nhận lỗ hổng CVE-2022-4135 đang được khai thác tích cực trong tự nhiên. Giống như các lỗ hổng zero-day trước đó, Google không công khai thông tin chi tiết cho đến khi phần lớn người dùng đã cập nhật trình duyệt.
Với bản cập nhật mới nhất, Google đã giải quyết 8 lỗ hổng zero-day trên trình duyệt Chrome kể từ đầu năm, bao gồm: CVE-2022-0609, CVE-2022-1096, CVE-2022-1364, CVE-2022-2294, CVE-2022-2856, CVE-2022-3075, CVE-2022-3723.
Để hạn chế bị tấn công và giảm thiểu các mối đe dọa tiềm ẩn, người dùng nên cập nhật trình duyệt Chrome lên phiên bản 107.0.5304.121 (macOS và Linux) và 107.0.5304.121/122 (Windows) bằng cách gõ chrome://settings/help vào thanh địa chỉ, chờ một lát để tải về bản cập nhật, sau đó nhấn Relaunch để khởi động lại.
Ngoài ra, người dùng các trình duyệt dựa trên mã nguồn mở Chromium như Microsoft Edge, Brave, Opera và Vivaldi cũng nên áp dụng các bản sửa lỗi ngay khi chúng có sẵn.