Cơ quan An ninh mạng và Hạ tầng Hoa Kỳ (CISA) đã bổ sung một lỗ hổng zero-day nghiêm trọng trong công cụ đồ họa ANGLE của Google Chromium vào danh mục các lỗ hổng đã bị khai thác (KEV) của mình.

Lỗ hổng này, được định danh là CVE-2025-14174, cho phép kẻ tấn công từ xa kích hoạt truy cập bộ nhớ ngoài giới hạn (out-of-bounds memory access) thông qua một trang HTML độc hại.

Việc khai thác có thể tiềm ẩn nguy cơ dẫn đến thực thi mã tùy ý (arbitrary code execution) trong các trình duyệt dựa trên Chromium.

Lỗ hổng này được phát hiện và vá chỉ vài ngày trước, một lần nữa nhấn mạnh các mối đe dọa liên tục đối với các trình duyệt dựa trên Chromium đang chiếm lĩnh thị trường web.

CVE-2025-14174: Phân tích Lỗ hổng Zero-day trong ANGLE của Chromium

Bản chất Lỗ hổng và Cơ chế Khai thác

CVE-2025-14174 cư trú trong ANGLE, lớp giao diện OpenGL ES của Chromium, nơi có lỗi kiểm tra giới hạn không đúng cách cho phép hỏng bộ nhớ.

Cụ thể, đây là một lỗi out-of-bounds write, cho phép kẻ tấn công ghi dữ liệu vào một vùng bộ nhớ nằm ngoài phạm vi được cấp phát hợp lệ, dẫn đến khả năng làm hỏng dữ liệu hoặc kiểm soát luồng thực thi chương trình.

Một trang web được tạo thủ công có thể kích hoạt lỗ hổng này trong quá trình render, tiềm năng cho phép mã độc vượt qua các cơ chế bảo vệ sandbox trong một số kịch bản nhất định.

Việc thoát khỏi sandbox là một yếu tố quan trọng, vì nó cho phép kẻ tấn công nâng cao đặc quyền và thực thi mã độc trên hệ điều hành của người dùng, không chỉ trong môi trường trình duyệt bị hạn chế.

Cơ sở dữ liệu lỗ hổng quốc gia (NVD) đánh giá đây là một CVE nghiêm trọng, với các đánh giá CVSS v3.1 ban đầu cho thấy rủi ro remote code execution cao.

Mặc dù chưa có chỉ số thỏa hiệp công khai (IoCs) nào được công bố liên quan trực tiếp đến CVE-2025-14174, các tác nhân đe dọa có thể sẽ kết hợp lỗ hổng này với các chiến dịch lừa đảo (phishing) hoặc quảng cáo độc hại (malvertising) để tối đa hóa hiệu quả khai thác.

Ảnh hưởng và Rủi ro Tiềm ẩn

Khai thác thành công lỗ hổng zero-day này có thể dẫn đến nhiều hậu quả nghiêm trọng.

Các cuộc tấn công drive-by compromises có thể xảy ra, nơi người dùng bị lây nhiễm chỉ đơn giản bằng cách truy cập một trang web độc hại, mà không cần bất kỳ tương tác nào.

Những rủi ro tiềm tàng khác bao gồm đánh cắp dữ liệu nhạy cảm, cài đặt phần mềm độc hại, hoặc triển khai mã độc tống tiền (ransomware) trên hệ thống bị ảnh hưởng.

CISA đã đưa lỗ hổng này vào danh mục KEV của mình và yêu cầu các cơ quan liên bang phải áp dụng các biện pháp giảm thiểu rủi ro chậm nhất vào ngày 2 tháng 1 năm 2026 hoặc ngừng sử dụng các sản phẩm bị ảnh hưởng.

Chỉ thị này phản ánh mức độ nguy hiểm cao và khả năng khai thác thực tế của lỗ hổng trong môi trường thực tế, đặc biệt là khi các cuộc tấn công khai thác lỗ hổng zero-day ngày càng tinh vi.

Biện pháp Khắc phục và Cập nhật Bản vá

Chỉ đạo Khẩn cấp từ CISA

CISA đã thúc giục vá lỗi ngay lập tức theo Chỉ thị Hoạt động Bắt buộc (Binding Operational Directive – BOD) 22-01 đối với tất cả các hệ thống liên bang, đặc biệt là các dịch vụ đám mây.

BOD 22-01 yêu cầu các cơ quan liên bang quản lý và giảm thiểu rủi ro từ các lỗ hổng đã biết bị khai thác trong vòng thời gian xác định, nhằm củng cố an ninh mạng quốc gia.

Việc tuân thủ chỉ thị này là tối quan trọng để bảo vệ hạ tầng công nghệ thông tin của chính phủ Hoa Kỳ trước các mối đe dọa liên tục, bao gồm cả các lỗ hổng zero-day mới xuất hiện.

Thông tin Bản vá và Cập nhật Trình duyệt

Google đã triển khai các bản sửa lỗi cho kênh ổn định (Stable Channel) vào ngày 10 tháng 12, nâng cấp trình duyệt Chrome lên phiên bản 131.0.6778.201.

Microsoft Edge, một trình duyệt phổ biến khác dựa trên nhân Chromium, cũng đã nhanh chóng theo sau với bản cập nhật lên phiên bản 131.0.3139.95 để khắc phục lỗ hổng này.

Người dùng các trình duyệt khác dựa trên Chromium như Opera được khuyến nghị kiểm tra các kênh của nhà cung cấp để nhận được bản vá bảo mật mới nhất và quan trọng này.

Google đã khuyến cáo rõ ràng trong ghi chú phát hành của mình: “Người dùng nên khởi chạy lại trình duyệt sau khi cập nhật” để đảm bảo các thay đổi bảo mật được áp dụng hoàn toàn và có hiệu lực.

Khuyến nghị Thực tiễn cho Tổ chức

Các tổ chức nên chủ động quét tìm các trình duyệt chưa được vá lỗi trong môi trường mạng của mình và ưu tiên triển khai cập nhật.

Việc thiết lập và thực thi chính sách cập nhật trình duyệt tự động trên toàn hệ thống giúp đảm bảo rằng tất cả các máy trạm đều được bảo vệ kịp thời trước các lỗ hổng zero-day.

Ngoài ra, cần tăng cường giám sát các sự cố render bất thường hoặc các dấu hiệu hoạt động đáng ngờ khác có thể chỉ ra nỗ lực khai thác lỗ hổng.

Tầm quan trọng của Quản lý Lỗ hổng Chủ động

Sự cố này một lần nữa làm nổi bật bề mặt tấn công rộng lớn của Chromium, ảnh hưởng đến hơn 70% trình duyệt máy tính để bàn trên toàn cầu.

Điều này có nghĩa là một lỗ hổng zero-day trong bất kỳ thành phần cốt lõi nào của Chromium có thể gây ra rủi ro an ninh mạng quy mô lớn cho hàng tỷ người dùng và vô số tổ chức.

Các nhóm bảo mật trên toàn thế giới nên ưu tiên khắc phục các lỗ hổng đã biết và tăng cường phòng thủ giữa bối cảnh các cuộc khai thác lỗ hổng zero-day đang gia tăng với mức độ phức tạp ngày càng cao.

Duy trì một chiến lược quản lý lỗ hổng hiệu quả, bao gồm giám sát liên tục, đánh giá rủi ro định kỳ và phản ứng nhanh chóng, là rất cần thiết để bảo vệ hệ thống và dữ liệu khỏi các mối đe dọa không ngừng.