Cơ quan An ninh Cơ sở hạ tầng và An ninh Mạng (CISA) đã ban hành một cảnh báo CVE khẩn cấp về một lỗ hổng zero-day Chrome đang bị khai thác tích cực. Lỗ hổng này, được định danh là CVE-2025-10585, ảnh hưởng đến công cụ V8 JavaScript và WebAssembly bên trong Google Chromium, tạo ra các rủi ro bảo mật đáng kể cho người dùng trên toàn thế giới.

Phân tích Kỹ thuật Lỗ hổng CVE-2025-10585

Bản chất Lỗ hổng Type Confusion trong V8 Engine

Lỗ hổng mới được xác định là một lỗi Type Confusion tồn tại trong công cụ V8 của Chrome. V8 là thành phần cốt lõi chịu trách nhiệm thực thi mã JavaScript và WebAssembly trong trình duyệt. Các lỗ hổng Type Confusion xảy ra khi phần mềm xử lý các kiểu dữ liệu không chính xác, điều này có thể cho phép kẻ tấn công thao túng bộ nhớ hệ thống.

Việc thao túng bộ nhớ có thể dẫn đến việc thực thi mã độc từ xa (Remote Code Execution – RCE). Đây là một trong những dạng lỗ hổng nghiêm trọng nhất. Lỗ hổng này được phân loại dưới CWE-843 trong cơ sở dữ liệu Common Weakness Enumeration, nhấn mạnh tính chất nguy hiểm và tiềm năng khai thác của nó.

Tác động và Nguy cơ Khai thác

Việc CISA bổ sung CVE-2025-10585 vào Danh mục các Lỗ hổng Đã bị Khai thác (Known Exploited Vulnerabilities – KEV) vào ngày 23 tháng 9 năm 2025, cho thấy các tác nhân đe dọa đang chủ động lợi dụng lỗ hổng này trong các cuộc tấn công thực tế. Điều này biến nó thành một mối đe dọa mạng cấp bách cần được xử lý ngay lập tức.

Tính nghiêm trọng của lỗ hổng này đòi hỏi sự chú ý nhanh chóng từ cả các tổ chức và người dùng cá nhân. Công cụ V8 đóng vai trò tối quan trọng trong việc xử lý JavaScript, điều này làm cho lỗ hổng zero-day Chrome này đặc biệt nguy hiểm. Các trang web độc hại có thể khai thác lỗi này để xâm phạm hệ thống của người truy cập mà không yêu cầu bất kỳ tương tác nào của người dùng ngoài việc truy cập trang web bị nhiễm.

Mặc dù CISA đã đưa lỗ hổng này vào danh mục khai thác tích cực, cơ quan này vẫn chưa xác định liệu CVE-2025-10585 có đang được sử dụng trong các chiến dịch mã độc tống tiền (ransomware) hay không. Sự không chắc chắn này làm tăng thêm mối lo ngại, vì các nhà điều hành ransomware thường vũ khí hóa các lỗ hổng trình duyệt để giành quyền truy cập ban đầu vào hệ thống và mạng.

Hướng dẫn Cập nhật và Biện pháp Giảm thiểu Rủi ro

Cập nhật Trình duyệt Google Chrome Khẩn cấp

Người dùng phải ngay lập tức cập nhật bản vá trình duyệt Chrome của mình lên phiên bản mới nhất để bảo vệ khỏi khả năng bị khai thác. Google đã phát hành các bản vá lỗi để khắc phục lỗ hổng zero-day Chrome này. Các bản cập nhật tự động sẽ phân phối các bản sửa lỗi này đến hầu hết các cài đặt.

Tuy nhiên, người dùng nên kiểm tra cập nhật thủ công thông qua menu cài đặt của Chrome để đảm bảo nhận được bản vá bảo mật kịp thời. Quy trình kiểm tra cập nhật Chrome thường được thực hiện như sau:

• Mở Google Chrome.
• Nhấp vào biểu tượng ba dấu chấm dọc (Menu) ở góc trên bên phải.
• Chọn Trợ giúp > Giới thiệu về Google Chrome.

Trình duyệt sẽ tự động kiểm tra và cài đặt bản cập nhật nếu có. Sau đó, người dùng cần khởi động lại trình duyệt để áp dụng hoàn tất bản vá.

Yêu cầu của CISA và Biện pháp cho Tổ chức

CISA đã thiết lập ngày 14 tháng 10 năm 2025 là thời hạn bắt buộc đối với các cơ quan liên bang để áp dụng các bản vá cần thiết hoặc ngừng sử dụng các cài đặt Chrome bị ảnh hưởng. Chỉ thị vận hành ràng buộc BOD 22-01 của CISA yêu cầu các cơ quan liên bang phải giải quyết các lỗ hổng đã bị khai thác trong các khung thời gian cụ thể, nhấn mạnh tính chất cực kỳ quan trọng của vấn đề bảo mật này. Tham khảo thêm tại Known Exploited Vulnerabilities Catalog của CISA.

Các tổ chức sử dụng dịch vụ đám mây nên tuân thủ hướng dẫn BOD 22-01 áp dụng. Những tổ chức không thể triển khai các biện pháp giảm thiểu nên xem xét ngừng sử dụng các phiên bản Chrome dễ bị tổn thương cho đến khi các bản vá thích hợp có thể được áp dụng. Quản trị viên hệ thống cần ưu tiên cập nhật Chrome trên toàn bộ môi trường của họ và theo dõi bất kỳ hoạt động đáng ngờ nào liên quan đến trình duyệt. Điều này nhằm phát hiện sớm các nỗ lực khai thác nhắm mục tiêu vào lỗ hổng zero-day Chrome vừa được công bố.