Google đã phát hành một cảnh báo CVE và bản cập nhật bảo mật khẩn cấp cho trình duyệt Chrome của mình. Bản vá này khắc phục ba lỗ hổng CVE có mức độ nghiêm trọng cao, có khả năng cho phép kẻ tấn công rò rỉ thông tin nhạy cảm và gây mất ổn định hệ thống.

Phiên bản Chrome mới nhất, 140.0.7339.207/.208 dành cho Windows và Mac, cùng 140.0.7339.207 dành cho Linux, đã vá các lỗi nghiêm trọng trong công cụ V8 JavaScript. Đây là thành phần cốt lõi xử lý nội dung web của trình duyệt.

V8 JavaScript Engine và các Lỗ Hổng CVE Nghiêm Trọng

Bản cập nhật bảo mật này giải quyết ba lỗ hổng CVE riêng biệt, tất cả đều được phân loại là mối đe dọa có mức độ nghiêm trọng cao. Công cụ V8 đóng vai trò trung tâm trong quá trình hoạt động của Chrome, xử lý mã JavaScript từ mọi trang web mà người dùng truy cập. Điều này khiến các lỗ hổng CVE trong V8 trở nên đặc biệt quan trọng đối với an ninh mạng của người dùng.

CVE-2025-10890: Rò Rỉ Thông Tin Side-Channel trong V8

Lỗ hổng CVE đáng lo ngại nhất là CVE-2025-10890, liên quan đến rò rỉ thông tin side-channel trong công cụ V8 JavaScript của Chrome.

Kiểu lỗ hổng CVE này tiềm ẩn nguy cơ cho phép các trang web độc hại trích xuất dữ liệu nhạy cảm từ các phiên duyệt web của người dùng. Kẻ tấn công có thể khai thác sự khác biệt về thời gian trong quá trình thực thi mã.

Nhà nghiên cứu bảo mật Mate Marjanović từ SharpEdged đã phát hiện và báo cáo lỗ hổng CVE quan trọng này vào ngày 9 tháng 7 năm 2025. Thông tin chi tiết có thể được tìm thấy trên blog phát hành Chrome chính thức: Chrome Releases Blog.

Tấn công side-channel là một hình thức đe dọa tinh vi. Kẻ tấn công không trực tiếp truy cập dữ liệu mà phân tích thông tin gián tiếp như thời gian thực thi, mức tiêu thụ điện năng hoặc phát xạ điện từ để suy ra thông tin nhạy cảm.

CVE-2025-10891 và CVE-2025-10892: Lỗi Integer Overflow

Hai lỗ hổng CVE nghiêm trọng khác là CVE-2025-10891 và CVE-2025-10892. Cả hai đều liên quan đến các điều kiện integer overflow (tràn số nguyên) trong công cụ V8.

Những lỗi này được phát hiện bởi dự án nghiên cứu bảo mật tự động của Google, Big Sleep, lần lượt vào ngày 9 và 10 tháng 9 năm 2025.

Lỗ hổng integer overflow xảy ra khi các phép toán số học tạo ra kết quả vượt quá giá trị tối đa mà một kiểu dữ liệu có thể lưu trữ. Điều này có thể dẫn đến hỏng bộ nhớ, hành vi không mong muốn hoặc sự cố hệ thống.

Tác động của lỗi Integer Overflow

Các lỗ hổng CVE dạng integer overflow trong các công cụ trình duyệt đặc biệt nguy hiểm. Chúng có thể được kích hoạt thông qua mã JavaScript được tạo ra một cách độc hại trên các trang web. Việc khai thác thành công có thể cho phép kẻ tấn công thực thi mã tùy ý (remote code execution), làm sập trình duyệt hoặc có khả năng giành quyền truy cập trái phép vào tài nguyên hệ thống.

Khuyến Nghị Cập Nhật Bản Vá Bảo Mật Ngay Lập Tức

Người dùng Chrome nên cập nhật trình duyệt của họ ngay lập tức để bảo vệ khỏi các lỗ hổng CVE này. Bản cập nhật sẽ được triển khai dần dần trong những ngày và tuần tới thông qua cơ chế cập nhật tự động của Chrome.

Người dùng có thể kiểm tra cập nhật thủ công bằng cách điều hướng đến menu cài đặt của Chrome và chọn “Giới thiệu về Chrome” (About Chrome).

Đội ngũ bảo mật của Google nhấn mạnh rằng quyền truy cập vào thông tin chi tiết về lỗi vẫn bị hạn chế. Biện pháp này được duy trì cho đến khi hầu hết người dùng nhận được các bản vá bảo mật. Cách tiếp cận này giúp ngăn chặn kẻ tấn công tiềm năng nghiên cứu chi tiết về lỗ hổng CVE trước khi người dùng có thể tự bảo vệ bằng các bản cập nhật mới nhất.