Google vừa phát hành một bản vá bảo mật khẩn cấp cho trình duyệt Chrome trên mọi nền tảng, đưa ra các phiên bản 142.0.7444.134 và 142.0.7444.135. Cập nhật này nhằm khắc phục năm lỗ hổng CVE có mức độ nghiêm trọng từ cao đến trung bình.

Bản cập nhật được phát hành để giải quyết các mối lo ngại an ninh cấp bách trong triển khai WebGPU của trình duyệt và các thành phần cốt lõi khác. Những lỗ hổng này có thể khiến người dùng đối mặt với các cuộc tấn công remote code execution (RCE).

Bản phát hành khẩn cấp này được công bố vào ngày 05 tháng 11 năm 2025. Quá trình triển khai sẽ diễn ra dần dần trên các hệ thống Windows, Mac và Linux trong những ngày và tuần tới.

Người dùng được khuyến nghị mạnh mẽ nên cập nhật trình duyệt của mình ngay lập tức. Điều này giúp bảo vệ họ khỏi nguy cơ bị khai thác tiềm ẩn.

Google cho biết việc truy cập thông tin chi tiết về các lỗi sẽ bị hạn chế. Biện pháp này được duy trì cho đến khi phần lớn người dùng đã cài đặt các bản vá bảo mật. Đây là một thực hành tiêu chuẩn nhằm ngăn chặn các cuộc tấn công diện rộng trong giai đoạn triển khai cập nhật.

Phân Tích Các Lỗ Hổng CVE Nghiêm Trọng Gây Nguy Cơ Remote Code Execution

CVE-2025-12725: Lỗ hổng WebGPU Out-of-Bounds Write

Lỗ hổng nghiêm trọng nhất được khắc phục trong bản cập nhật này là CVE-2025-12725. Lỗ hổng này được phân loại là lỗi ghi ngoài giới hạn (out-of-bounds write) có mức độ nghiêm trọng cao trong triển khai WebGPU của Chrome.

WebGPU là một API đồ họa và tính toán trên web, cung cấp khả năng truy cập hiệu quả vào các tính năng phần cứng đồ họa hiện đại. Một lỗ hổng out-of-bounds write trong thành phần này đặc biệt nguy hiểm.

Nó cho phép kẻ tấn công ghi dữ liệu vượt ra ngoài giới hạn bộ nhớ được cấp phát. Khi được khai thác thành công thông qua nội dung web độc hại, điều này có thể dẫn đến việc chiếm quyền điều khiển từ xa, tức là remote code execution.

Lỗ hổng xử lý đồ họa này ban đầu được báo cáo vào ngày 09 tháng 09 năm 2025. Tuy nhiên, thông tin chi tiết đã được giữ kín trong suốt quá trình phát triển và thử nghiệm để đảm bảo an toàn cho người dùng.

Các Lỗ hổng Khác Gây Ảnh hưởng Lớn

CVE-2025-12726: Lỗi Triển khai trong Views Component

Lỗ hổng CVE-2025-12726 liên quan đến việc triển khai không đúng cách trong thành phần Views của Chrome. Lỗ hổng này cũng được xếp hạng mức độ nghiêm trọng cao.

Views system là một phần quan trọng của trình duyệt, chịu trách nhiệm xử lý việc hiển thị giao diện người dùng và quản lý cửa sổ. Các lỗ hổng trong lớp này mang lại rủi ro đáng kể từ góc độ bề mặt tấn công, cho phép kẻ xấu can thiệp vào cách người dùng tương tác với trình duyệt.

Lỗ hổng này được báo cáo vào ngày 25 tháng 09 năm 2025 và cũng đại diện cho một mối đe dọa đáng kể đối với an ninh trình duyệt, có khả năng dẫn đến các tình huống khai thác phức tạp.

CVE-2025-12727: Điểm Yếu trong Engine V8 JavaScript

Engine JavaScript V8 của Chrome cũng cần được chú ý trong bản cập nhật này với CVE-2025-12727. Đây là một lỗ hổng CVE khác có mức độ nghiêm trọng cao liên quan đến việc triển khai không phù hợp.

Engine V8 chịu trách nhiệm thực thi tất cả mã JavaScript trong trình duyệt. Do đó, bất kỳ lỗ hổng nào tại đây đều là mối quan tâm cấp bách cho người dùng khi truy cập các trang web độc hại, vì nó có thể cho phép thực thi mã tùy ý.

Lỗ hổng này được nhà nghiên cứu bảo mật 303f06e3 phát hiện vào ngày 23 tháng 10 năm 2025, nhấn mạnh vai trò của cộng đồng bảo mật trong việc phát hiện sớm các nguy cơ.

Lỗ hổng Mức Trung bình trong Omnibox và Triển Khai Bản Vá Bảo mật Toàn Diện

Bên cạnh các lỗ hổng nghiêm trọng, hai lỗ hổng CVE mức độ trung bình khác ảnh hưởng đến thanh tìm kiếm và điều hướng Omnibox của Chrome cũng đã được vá trong đợt cập nhật này.

CVE-2025-12728 và CVE-2025-12729 đều liên quan đến các triển khai không phù hợp trong thành phần Omnibox. Các lỗ hổng này lần lượt được báo cáo bởi các nhà nghiên cứu Hafiizh và Khalil Zhani.

Mặc dù được phân loại là mức độ trung bình thay vì nghiêm trọng, những lỗ hổng này vẫn tiềm ẩn rủi ro bảo mật đáng kể. Do đó, chúng được đưa vào bản vá bảo mật khẩn cấp này để đảm bảo an toàn toàn diện cho người dùng.

Chi Tiết Cập Nhật và Triển Khai Bản Vá Bảo mật

Bản cập nhật dành cho máy tính để bàn có các phiên bản 142.0.7444.134 và 142.0.7444.135 cho người dùng Windows. Người dùng Mac sẽ nhận được phiên bản 142.0.7444.134, trong khi người dùng Linux cũng sẽ có cùng số phiên bản này.

Người dùng Android sẽ nhận được các bản sửa lỗi bảo mật tương tự thông qua quá trình cập nhật phiên bản qua Google Play trong những ngày tới, đảm bảo sự đồng bộ về bảo mật trên các nền tảng di động.

Trước đó, người dùng iOS đã nhận được phiên bản Chrome Stable 142.0.7444.128 vào ngày 04 tháng 11. Phiên bản này phù hợp với các cải tiến bảo mật được nêu trong bản phát hành dành cho máy tính để bàn này, cho thấy Google đã có kế hoạch cập nhật toàn diện.

Biện Pháp Phát Hiện và Phòng Ngừa Lỗ hổng CVE của Google

Để xác định và ngăn chặn các lỗ hổng CVE này đến tay người dùng sớm hơn, nhóm bảo mật của Google đã sử dụng nhiều công nghệ phát hiện tiên tiến. Các công cụ này bao gồm AddressSanitizer, MemorySanitizer và kỹ thuật fuzzing.

AddressSanitizer là một công cụ phát hiện lỗi bộ nhớ tại thời điểm chạy (runtime memory error detector). MemorySanitizer giúp phát hiện việc sử dụng bộ nhớ chưa được khởi tạo. Fuzzing là kỹ thuật tự động kiểm tra phần mềm bằng cách đưa vào các dữ liệu đầu vào không hợp lệ hoặc bất ngờ để tìm ra các lỗi.

Google tiếp tục làm việc chặt chẽ với các nhà nghiên cứu bảo mật bên ngoài để duy trì an ninh trình duyệt trong suốt các chu kỳ phát triển sản phẩm. Người dùng có thể báo cáo các lỗ hổng mới thông qua hệ thống báo lỗi chính thức của Chrome để hỗ trợ các nỗ lực bảo vệ đang diễn ra, góp phần vào một hệ sinh thái web an toàn hơn.