Google đã chính thức phát hành Chrome 143 lên kênh ổn định, với phiên bản 143.0.7499.40 cho Linux và 143.0.7499.40/41 cho Windows và Mac. Bản cập nhật này giải quyết tổng cộng 13 lỗ hổng bảo mật, bao gồm nhiều lỗ hổng CVE mức độ nghiêm trọng cao có thể dẫn đến thực thi mã tùy ý hoặc xâm phạm công cụ hiển thị của trình duyệt.

Đợt cập nhật bản vá này là rất quan trọng để duy trì an ninh mạng cho người dùng Chrome.

Phân tích các Lỗ hổng CVE Chính

CVE-2025-13630: Lỗi Type Confusion trong V8 JavaScript Engine

Lỗ hổng nghiêm trọng nhất được khắc phục trong bản phát hành này là CVE-2025-13630. Đây là một lỗ hổng Type Confusion trong công cụ JavaScript V8.

Lỗi này do nhà nghiên cứu bảo mật Shreyas Penkar báo cáo và đã nhận được khoản tiền thưởng 11.000 USD.

Các lỗ hổng Type Confusion đặc biệt nguy hiểm. Chúng xảy ra khi một chương trình cấp phát tài nguyên bằng một kiểu dữ liệu nhưng sau đó lại truy cập nó bằng một kiểu dữ liệu khác, không tương thích.

Trong môi trường trình duyệt, việc khai thác thành công lỗ hổng Type Confusion trong V8 thường cho phép kẻ tấn công từ xa thực thi mã tùy ý (remote code execution) bên trong sandbox của renderer.

Điều này có thể xảy ra khi người dùng bị lừa truy cập một trang web được thiết kế đặc biệt.

CVE-2025-13631: Lỗi triển khai trong Google Updater

Một vấn đề nghiêm trọng khác là CVE-2025-13631. Đây là một lỗi triển khai không phù hợp trong dịch vụ Google Updater.

Lỗ hổng này được báo cáo bởi nhà nghiên cứu Jota Domingos và đi kèm với phần thưởng 3.000 USD.

Mặc dù các chi tiết cụ thể về vector khai thác vẫn bị hạn chế để ngăn chặn lạm dụng rộng rãi, nhưng các lỗ hổng bảo mật trong cơ chế cập nhật đôi khi có thể được tận dụng để duy trì quyền truy cập (persistence) hoặc nâng cao đặc quyền trên hệ thống máy chủ.

Các Lỗ hổng Nghiêm trọng Khác

Bản cập nhật cũng giải quyết CVE-2025-13632, một vấn đề nghiêm trọng cao trong DevTools do Leandro Teles báo cáo.

Ngoài ra, CVE-2025-13633 là một lỗi hỏng bộ nhớ “Use After Free” (UAF) trong Digital Credentials. Lỗi này được Google tự phát hiện.

Các lỗi UAF vẫn là một loại lỗi an toàn bộ nhớ phổ biến trong Chrome. Chúng thường xảy ra khi trình duyệt cố gắng sử dụng vùng nhớ đã được giải phóng, dẫn đến sự cố hoặc tiềm năng thực thi mã.

Chính sách Tiết lộ và Phương pháp Phát hiện

Google đã hạn chế quyền truy cập vào các chi tiết lỗi đầy đủ cho đến khi phần lớn người dùng cập nhật lên phiên bản đã vá lỗi. Điều này là một quy trình hoạt động tiêu chuẩn nhằm giảm thiểu rủi ro các tác nhân đe dọa thực hiện kỹ thuật đảo ngược bản vá để phát triển các khai thác cho các trình duyệt chưa được vá.

Bạn có thể tham khảo thêm về chính sách tiết lộ và các bản vá lỗi trên blog chính thức của Chrome Releases: Chrome Releases Blog.

Ngoài các báo cáo từ bên ngoài, đội ngũ an ninh nội bộ của Google đã xác định một số vấn đề khác. Chúng bao gồm một điều kiện tranh chấp (race condition) mức độ trung bình trong V8 (CVE-2025-13721) và một lỗi bad cast trong thành phần Loader (CVE-2025-13720).

Để phát hiện những sai lệch bộ nhớ này trong suốt chu kỳ phát triển, nhóm Chrome đã sử dụng các công cụ kiểm thử tự động. Các công cụ này bao gồm AddressSanitizer và libFuzzer.

Việc sử dụng các công cụ này giúp tăng cường khả năng phát hiện các lỗ hổng CVE trước khi chúng có thể bị khai thác.

Khuyến nghị Cập nhật

Người dùng trên các hệ điều hành Windows, Mac và Linux nên kiểm tra cập nhật bản vá để cài đặt tự động trong vài ngày tới.

Để thực hiện kiểm tra thủ công, người dùng có thể điều hướng đến menu Chrome, chọn Trợ giúp (Help) và nhấp vào Giới thiệu về Google Chrome (About Google Chrome). Thao tác này sẽ buộc trình duyệt tải xuống phiên bản 143 mới nhất.

Đảm bảo trình duyệt của bạn luôn được cập nhật là biện pháp phòng ngừa quan trọng nhất chống lại các mối đe dọa mạng.

Việc bỏ qua các cập nhật bản vá có thể khiến hệ thống của bạn dễ bị tổn thương trước các lỗ hổng CVE đã được công khai.