Google đã phát hành Chrome phiên bản 142 cho kênh ổn định, giải quyết nhiều lỗ hổng CVE nghiêm trọng có thể cho phép kẻ tấn công thực thi mã độc trên các hệ thống bị ảnh hưởng.

Bản cập nhật này hiện đang được triển khai cho người dùng Windows, Mac và Linux, bao gồm các bản sửa lỗi cho 20 lỗ hổng bảo mật được phát hiện bởi các nhà nghiên cứu bên ngoài và các nhóm bảo mật nội bộ của Google.

Phân Tích Các Lỗ Hổng Nghiêm Trọng trong V8 JavaScript Engine

Bản phát hành Chrome 142 khắc phục bảy lỗ hổng có mức độ nghiêm trọng cao, với một số ảnh hưởng đến công cụ V8 JavaScript.

V8 là thành phần cốt lõi cung cấp khả năng kết xuất web của Chrome.

CVE-2025-12428: Lỗ Hổng Type Confusion trong V8

Một trong những lỗ hổng CVE nghiêm trọng nhất là CVE-2025-12428.

Lỗ hổng này thuộc loại type confusion trong V8 và được phát hiện bởi Man Yue Mo từ GitHub Security Lab.

Lỗi type confusion xảy ra khi một chương trình sử dụng tài nguyên (ví dụ: một biến, đối tượng, hoặc con trỏ) với một kiểu dữ liệu không mong đợi, dẫn đến các hoạt động không chính xác hoặc truy cập bộ nhớ ngoài ý muốn.

CVE-2025-12429: Lỗ Hổng Inappropriate Implementation trong V8

Lỗ hổng nghiêm trọng thứ hai là CVE-2025-12429, do nhà nghiên cứu Aorui Zhang phát hiện.

Đây là một vấn đề inappropriate implementation (triển khai không phù hợp) cũng trong V8.

Cả hai lỗ hổng CVE này đều đã mang lại cho các nhà nghiên cứu phần thưởng 50.000 USD mỗi lỗi.

Các lỗ hổng này có thể cho phép kẻ tấn công thực thi mã tùy ý bằng cách khai thác cách Chrome xử lý JavaScript.

Để biết thêm chi tiết về các bản vá, bạn có thể tham khảo thông báo phát hành chính thức của Chrome.

Các Vấn Đề Bảo Mật Nghiêm Trọng Khác

Ngoài các vấn đề về V8, Chrome 142 còn giải quyết một số lỗ hổng có mức độ nghiêm trọng cao khác:

• Vấn đề object lifecycle trong các thành phần Media.
• Các điều kiện race conditions trong V8.
• Các lỗi inappropriate implementation khác.

Sáng kiến bảo mật Big Sleep của Google cũng đã đóng góp một số phát hiện, chứng minh hiệu quả của các hệ thống phát hiện lỗ hổng tự động.

Lỗ Hổng Mức Trung Bình và Thấp

Bên cạnh các lỗ hổng CVE nghiêm trọng, Chrome 142 còn khắc phục tám lỗ hổng có mức độ nghiêm trọng trung bình ảnh hưởng đến các thành phần trình duyệt khác nhau.

Các lỗ hổng này bao gồm:

• Lỗi use-after-free trong PageInfo và Ozone.
• Các điều kiện race conditions trong Storage.
• Các vấn đề out-of-bounds read trong V8 và WebXR.

Các nhà nghiên cứu bảo mật cũng đã xác định các điểm yếu policy bypass (bỏ qua chính sách) trong Extensions và các triển khai giao diện người dùng bảo mật không chính xác (incorrect security UI) trong Omnibox.

Những lỗi này có thể đánh lừa người dùng về tính xác thực của trang web, dẫn đến các rủi ro về tấn công lừa đảo hoặc cài đặt tiện ích mở rộng độc hại.

Bản cập nhật cũng vá năm lỗ hổng có mức độ nghiêm trọng thấp liên quan đến hiển thị giao diện người dùng bảo mật không chính xác và các vấn đề policy bypass trong Extensions.

Chính Sách Thưởng Lỗ Hổng và Cập Nhật

Tổng cộng, Google đã trao thưởng hơn 140.000 USD cho các nhà nghiên cứu bên ngoài đã tiết lộ có trách nhiệm các lỗ hổng CVE này, củng cố cam kết của công ty đối với chương trình phần thưởng lỗ hổng.

Các phiên bản cụ thể của bản vá bảo mật này là:

• Chrome 142.0.7444.59 cho Linux.
• Chrome 142.0.7444.60 cho Windows.
• Chrome 142.0.7444.60 cho Mac.

Các phiên bản này sẽ được tự động triển khai cho người dùng trong những ngày và tuần tới.

Google tiếp tục hạn chế quyền truy cập vào thông tin chi tiết về lỗi cho đến khi hầu hết người dùng đã nhận được các bản vá bảo mật.

Hành động này giúp ngăn chặn việc khai thác tiềm ẩn các hệ thống chưa được cập nhật bản vá.

Các tổ chức sử dụng Chrome trong môi trường doanh nghiệp nên ưu tiên thử nghiệm và triển khai bản vá bảo mật này để duy trì tư thế bảo mật vững chắc.

Việc không áp dụng kịp thời các bản vá có thể khiến hệ thống gặp nguy cơ cao bị chiếm quyền điều khiển (remote code execution) hoặc các hình thức tấn công khác. Luôn cập nhật thông tin về các cảnh báo CVE mới nhất từ các nguồn đáng tin cậy như NVD – National Vulnerability Database.