Google Chrome đã phát hành các phiên bản cập nhật 141.0.7390.65/.66 cho Windows và Mac, cùng với phiên bản 141.0.7390.65 cho Linux. Các bản cập nhật này nhằm khắc phục ba lỗ hổng Google Chrome nghiêm trọng, tất cả đều liên quan đến các lỗi xử lý bộ nhớ mà kẻ tấn công có thể khai thác để thực thi mã tùy ý trong ngữ cảnh của trình duyệt.

Các Lỗ Hổng Google Chrome Nghiêm Trọng Được Vá

Những vấn đề bảo mật này đã được các nhà nghiên cứu độc lập phát hiện và báo cáo thông qua chương trình tiết lộ lỗ hổng của Google. Google đã trao thưởng từ $3,000 đến $5,000 dựa trên mức độ nghiêm trọng và độ phức tạp của từng lỗ hổng.

CVE-2025-11458: Heap Buffer Overflow trong Chrome Sync

Đây là một lỗ hổng mức High severity được định danh là CVE-2025-11458, ảnh hưởng đến thành phần Chrome Sync. Lỗ hổng này là một lỗi tràn bộ đệm heap (heap buffer overflow).

Kẻ tấn công có thể tạo ra dữ liệu đồng bộ độc hại khiến một vùng bộ đệm bộ nhớ bị tràn. Điều này có thể dẫn đến việc thực thi mã tùy ý (remote code execution) khi trình duyệt xử lý dữ liệu độc hại, cho phép kẻ tấn công giành quyền kiểm soát hệ thống từ xa.

Lỗ hổng này đã được nhà nghiên cứu có tên “raven” từ KunLun Lab báo cáo vào ngày 5 tháng 9 năm 2025 và nhận được khoản tiền thưởng $5,000.

CVE-2025-11460: Use-After-Free trong Thành Phần Storage

Lỗ hổng thứ hai cũng ở mức High severity là CVE-2025-11460, liên quan đến lỗi use-after-free trong thành phần Storage của Chrome. Lỗi use-after-free xảy ra khi một chương trình cố gắng truy cập hoặc sử dụng một vùng bộ nhớ đã được giải phóng khỏi hệ thống.

Một script hoặc trang web được thiết kế đặc biệt có thể kích hoạt lỗi này bằng cách truy cập các đối tượng lưu trữ đã được giải phóng. Điều này dẫn đến hỏng bộ nhớ và có thể mở đường cho việc thực thi mã từ xa, cho phép kẻ tấn công kiểm soát luồng thực thi của chương trình.

Lỗ hổng này được nhà nghiên cứu Sombra tiết lộ vào ngày 23 tháng 9 năm 2025. Google chưa công bố số tiền thưởng cho phát hiện này.

CVE-2025-11211: Out-of-Bounds Read trong WebCodecs

Lỗ hổng thứ ba được xác định là CVE-2025-11211, ở mức Medium severity, liên quan đến lỗi out-of-bounds read trong WebCodecs. Lỗi out-of-bounds read xảy ra khi một chương trình cố gắng đọc dữ liệu từ một vị trí bộ nhớ nằm ngoài ranh giới của vùng bộ nhớ được cấp phát hợp lệ.

Bằng cách cung cấp đầu vào sai định dạng cho API giải mã phương tiện, kẻ tấn công có thể đọc dữ liệu vượt quá vùng bộ nhớ được cấp phát. Điều này có thể làm hỏng dữ liệu, tiết lộ thông tin nhạy cảm hoặc thiết lập tiền đề cho các cuộc khai thác phức tạp hơn, có khả năng dẫn đến việc chiếm quyền điều khiển.

Jakob Košir đã báo cáo vấn đề này vào ngày 29 tháng 8 năm 2025 và nhận được khoản tiền thưởng $3,000.

Cơ Chế Khai Thác và Tác Động Tiềm Năng

Cả ba lỗ hổng Google Chrome này đều có chung một điều kiện tiên quyết: người dùng phải truy cập hoặc tương tác với nội dung web được thiết kế đặc biệt. Nội dung này sẽ kích hoạt lỗi bộ nhớ cơ bản trong trình duyệt mà không cần sự can thiệp phức tạp từ phía kẻ tấn công.

Đáng chú ý là các lỗ hổng này không yêu cầu thêm bất kỳ đặc quyền nào để khai thác. Điều này khiến chúng trở nên đặc biệt nguy hiểm nếu bị khai thác trong các cuộc tấn công drive-by download (tải xuống tự động) hoặc thông qua quảng cáo độc hại. Kẻ tấn công có thể giành quyền kiểm soát hệ thống mà không cần sự tương tác chủ động từ nạn nhân.

Việc kịp thời cập nhật các bản vá bảo mật là vô cùng quan trọng để giảm thiểu rủi ro bị khai thác các lỗ hổng này, đặc biệt khi chúng có thể dẫn đến remote code execution.

Khuyến Nghị và Biện Pháp Khắc Phục

Để đảm bảo hệ thống được bảo vệ khỏi các lỗ hổng đã nêu, người dùng và các tổ chức được khuyến nghị cập nhật Google Chrome lên phiên bản mới nhất ngay lập tức.

Hướng Dẫn Cập Nhật cho Người Dùng Cá Nhân

Người dùng cá nhân nên cập nhật trình duyệt Chrome của mình lên phiên bản 141.0.7390.65/.66 (Windows/Mac) hoặc 141.0.7390.65 (Linux). Các bản cập nhật tự động thường được bật theo mặc định. Tuy nhiên, người dùng có thể xác minh và kích hoạt cập nhật thủ công theo các bước sau:

• Mở Google Chrome.
• Đi tới phần “Cài đặt” (Settings) của trình duyệt.
• Chọn “Giới thiệu về Google Chrome” (About Google Chrome).
• Trình duyệt sẽ tự động kiểm tra và cài đặt phiên bản cập nhật nếu có.

Tham khảo thông tin cập nhật chính thức từ Google Chrome Releases để biết thêm chi tiết về bản vá này: Google Chrome Releases – Stable Channel Update for Desktop.

Triển Khai Cập Nhật cho Doanh Nghiệp

Các doanh nghiệp và tổ chức đang quản lý Chrome thông qua các chính sách nhóm (group policies) hoặc bảng điều khiển quản lý (management consoles) cần triển khai bản cập nhật này trên tất cả các thiết bị đầu cuối mà không trì hoãn. Việc này đảm bảo toàn bộ hệ thống trong mạng lưới được bảo vệ khỏi các mối đe dọa tiềm ẩn do các lỗ hổng Google Chrome gây ra.

Thực Tiễn Bảo Mật Tốt Nhất cho Nhà Phát Triển Web

Các nhà phát triển web và quản trị viên nên tiếp tục tuân thủ các thực tiễn tốt nhất về bảo mật nội dung. Điều này bao gồm việc sử dụng các tiêu đề Content Security Policy (CSP) nghiêm ngặt để giới hạn việc thực thi các script không đáng tin cậy và giảm thiểu rủi ro XSS.

Ngoài ra, việc áp dụng các quy trình làm sạch dữ liệu (sanitization routines) kỹ lưỡng cho bất kỳ dữ liệu nào do người dùng cung cấp là rất quan trọng để ngăn chặn các cuộc tấn công injection và các lỗ hổng khác liên quan đến đầu vào người dùng.

Các Công Cụ An Toàn Bộ Nhớ và Hợp Tác Cộng Đồng

Các đội ngũ bảo mật trong các tổ chức cũng có thể xem xét triển khai các công cụ an toàn bộ nhớ runtime, chẳng hạn như AddressSanitizer và Control Flow Integrity. Những công cụ này giúp phát hiện và ngăn chặn các vấn đề tương tự liên quan đến lỗi bộ nhớ sớm hơn trong các chu kỳ phát triển phần mềm, từ đó tăng cường chất lượng và bảo mật của ứng dụng.

Google cũng ghi nhận và cảm ơn sự hỗ trợ từ các đối tác bảo mật của mình, bao gồm các công cụ như AddressSanitizer, MemorySanitizer, UndefinedBehaviorSanitizer, Control Flow Integrity, libFuzzer và AFL. Sự hợp tác liên tục giữa các nhà nghiên cứu bảo mật và các nhà cung cấp phần mềm là yếu tố then chốt để duy trì sự an toàn cho các trình duyệt và ứng dụng web trong môi trường mạng ngày càng phức tạp.