Google vừa phát hành một cập nhật bảo mật Chrome quan trọng, khắc phục tổng cộng sáu lỗ hổng bảo mật. Trong số đó, có ba lỗ hổng được xếp hạng nghiêm trọng (high-severity) có thể dẫn đến thực thi mã tùy ý (arbitrary code execution) trên các hệ thống bị ảnh hưởng. Đây là một cảnh báo về rủi ro bảo mật đáng kể, đòi hỏi người dùng cần hành động ngay lập tức.

Tổng Quan Về Cập Nhật Bảo Mật Chrome

Bản cập nhật bảo mật Chrome kênh ổn định, phiên bản 139.0.7258.127/.128 cho Windows và Mac, cùng 139.0.7258.127 cho Linux, đã được Google công bố vào ngày 12 tháng 8 năm 2025. Bản vá này sẽ được triển khai tự động tới người dùng trong những ngày và tuần tới. Để đảm bảo an toàn thông tin cho hệ thống của mình, người dùng nên kiểm tra và cập nhật trình duyệt thủ công nếu cần thiết. Thông tin chi tiết về các bản phát hành có thể tìm thấy trên blog chính thức của Google Chrome Releases: Google Chrome Releases Blog.

Bản vá này đại diện cho một phản ứng nhanh chóng và hiệu quả đối với các lỗ hổng CVE được phát hiện bởi cả các nhà nghiên cứu bảo mật độc lập từ cộng đồng và đội ngũ bảo mật nội bộ của Google. Các lỗ hổng được khắc phục ảnh hưởng đến nhiều thành phần cốt lõi của trình duyệt, bao gồm công cụ JavaScript V8, các hệ thống xử lý đồ họa và thư viện codec phương tiện. Nếu không được khắc phục và bị khai thác, những lỗ hổng CVE này có khả năng cho phép kẻ tấn công thực thi mã độc hại, dẫn đến sự xâm nhập toàn diện hệ thống hoặc thậm chí chiếm quyền điều khiển từ xa.

Phân Tích Chuyên Sâu Các Lỗ Hổng CVE Nghiêm Trọng

Trong số các lỗ hổng bảo mật được vá trong cập nhật bảo mật Chrome lần này, ba lỗ hổng nổi bật với mức độ nghiêm trọng cao nhất, tiềm ẩn những mối đe dọa mạng đáng kể. Việc hiểu rõ bản chất của chúng là cần thiết để đánh giá đúng mức độ rủi ro bảo mật.

CVE-2025-8879: Lỗi Heap Buffer Overflow trong libaom

Lỗ hổng quan trọng nhất được vá là CVE-2025-8879, một lỗi tràn bộ đệm heap (heap buffer overflow) trong thư viện libaom. Libaom là thư viện mã hóa và giải mã được sử dụng rộng rãi cho nội dung video, đặc biệt là định dạng AV1. Lỗi tràn bộ đệm heap xảy ra khi một chương trình cố gắng ghi dữ liệu vượt quá giới hạn của một vùng bộ nhớ được cấp phát trên heap. Điều này có thể dẫn đến việc ghi đè lên các dữ liệu quan trọng khác hoặc các cấu trúc kiểm soát chương trình. Hậu quả trực tiếp là khả năng thực thi mã tùy ý, cho phép kẻ tấn công chèn và chạy mã độc của riêng chúng trên hệ thống của nạn nhân. Đây là một con đường phổ biến dẫn đến chiếm quyền điều khiển hệ thống hoàn toàn.

CVE-2025-8880: Race Condition trong V8 JavaScript Engine

CVE-2025-8880 giải quyết một tình trạng tranh chấp (race condition) trong công cụ JavaScript V8 của Chrome. V8 là một thành phần quan trọng chịu trách nhiệm thực thi mã JavaScript, cung cấp sức mạnh cho phần lớn các trang web động. Tình trạng tranh chấp phát sinh khi hai hoặc nhiều luồng hoặc tiến trình cố gắng truy cập và sửa đổi cùng một tài nguyên được chia sẻ mà không có sự đồng bộ hóa thích hợp. Điều này tạo ra một “cửa sổ” nhỏ mà kẻ tấn công có thể lợi dụng để thao túng thứ tự thực thi của các thao tác. Thông qua việc tạo ra nội dung web độc hại được thiết kế đặc biệt, kẻ tấn công có thể kích hoạt lỗi này để đạt được khả năng thực thi mã từ xa (remote code execution), từ đó gây ra xâm nhập mạng và ảnh hưởng nghiêm trọng đến an ninh mạng của người dùng.

CVE-2025-8901: Lỗi Out-of-Bounds Write trong ANGLE

Lỗ hổng nghiêm trọng thứ ba được khắc phục là CVE-2025-8901, một lỗi ghi ngoài giới hạn (out-of-bounds write) trong ANGLE. ANGLE là một lớp tương thích đồ họa mã nguồn mở của Google, được sử dụng để dịch các lệnh gọi OpenGL ES thành các API đồ họa gốc của nền tảng (như DirectX trên Windows, Metal trên macOS). Lỗi ghi ngoài giới hạn cho phép một chương trình ghi dữ liệu vào một vị trí bộ nhớ nằm ngoài ranh giới được cấp phát cho nó. Điều này có thể dẫn đến hỏng bộ nhớ, sự cố chương trình (denial of service) hoặc, trong trường hợp xấu nhất, tạo điều kiện cho việc thực thi mã độc hại. Điều đáng chú ý là lỗ hổng này được phát hiện bởi hệ thống AI Big Sleep AI của Google, thể hiện sự tiến bộ trong việc sử dụng trí tuệ nhân tạo để tăng cường khả năng nghiên cứu lỗ hổng bảo mật và phát hiện sớm các mối đe dọa tiềm tàng.

Chiến Lược Bảo Mật và Phát Hiện Lỗ Hổng của Google

Đội ngũ bảo mật của Google áp dụng một chính sách chặt chẽ trong việc công bố thông tin chi tiết về các lỗi. Quyền truy cập vào các báo cáo lỗi chi tiết vẫn được hạn chế cho đến khi phần lớn người dùng đã hoàn thành việc cập nhật bảo mật Chrome của họ. Phương pháp này là một chiến lược quan trọng để ngăn chặn các tác nhân độc hại (threat actors) khai thác các lỗ hổng đã được biết đến trước khi các bản vá được triển khai rộng rãi, giảm thiểu rủi ro an toàn thông tin cho cộng đồng người dùng. Google cũng đầu tư mạnh vào các công cụ kiểm tra bảo mật tự động tiên tiến, bao gồm AddressSanitizer, MemorySanitizer và các công nghệ fuzzing. Những công cụ này đóng vai trò then chốt trong việc chủ động xác định các lỗ hổng tiềm ẩn trong mã nguồn trước khi chúng có thể xuất hiện trong các bản phát hành ổn định, củng cố an ninh mạng tổng thể của trình duyệt.

Khuyến Nghị An Ninh Mạng và Biện Pháp Phòng Ngừa

Để bảo vệ hệ thống khỏi các cuộc tấn công mạng tiềm tàng và giảm thiểu rủi ro bảo mật do các lỗ hổng này gây ra, người dùng được khuyến nghị mạnh mẽ cập nhật trình duyệt Google Chrome của họ lên phiên bản mới nhất ngay lập tức. Việc duy trì trình duyệt và tất cả các phần mềm khác ở phiên bản được vá lỗi mới nhất là một trong những thực hành tốt nhất về an ninh mạng và bảo mật dữ liệu. Luôn cảnh giác với các liên kết đáng ngờ, nội dung web không rõ nguồn gốc và các email lừa đảo cũng là những biện pháp bổ sung để tăng cường an toàn mạng cá nhân và doanh nghiệp.