Một mã khai thác proof-of-concept (PoC) cho một **lỗ hổng zero-day Chrome** nghiêm trọng đã được công bố công khai. Sự việc này xảy ra chưa đầy ba tháng sau khi lỗ hổng được tiết lộ lần đầu, trong bối cảnh các báo cáo về việc khai thác tích cực trong thực tế.

Khai thác Lỗ hổng Zero-Day Chrome (CVE-2025-5419) Được Công bố Công khai

Lỗ hổng, được theo dõi với mã định danh **CVE-2025-5419**, xuất phát từ các lỗi đọc và ghi ngoài giới hạn (out-of-bounds reads and writes) trong công cụ JavaScript V8 của Chrome. Lỗi này ảnh hưởng đến các phiên bản trình duyệt trước **137.0.7151.68** và mở ra khả năng tấn công làm hỏng bộ nhớ heap (heap-corruption) thông qua các trang HTML được chế tạo đặc biệt.

Các nhà nghiên cứu bảo mật lần đầu tiên ghi nhận **CVE-2025-5419** vào đầu tháng Sáu. Cơ sở dữ liệu lỗ hổng quốc gia (NVD) đã công bố chi tiết vào ngày 3 tháng Sáu, và cơ sở dữ liệu GitHub Advisory cũng đã phản ánh cảnh báo này cùng ngày.

Đánh giá CVSS và Mức độ Nghiêm trọng

Nhóm bảo mật Chrome đã xếp hạng lỗ hổng này ở mức “High” (Nghiêm trọng) theo phân loại nội bộ của Chromium. Google đã tung ra một bản cập nhật kênh ổn định tạm thời vào ngày 24 tháng Sáu, nhưng vẫn chưa tiết lộ chính xác phiên bản nào chứa bản vá, cũng như chưa công bố lộ trình phát hành chính thức của Chrome.

Theo hệ thống tính điểm **CVSS v3.1**, **CVE-2025-5419** nhận được điểm cơ sở là **7.5/10**. Vector tấn công dựa trên mạng, không yêu cầu đặc quyền từ kẻ tấn công nhưng cần một mức độ tương tác nhất định từ người dùng, điển hình là thuyết phục mục tiêu truy cập một trang web độc hại.

Độ phức tạp tấn công thấp và không yêu cầu đặc quyền khiến lỗ hổng này đặc biệt hấp dẫn đối với kẻ tấn công. Khai thác thành công có thể dẫn đến việc chiếm quyền kiểm soát hoàn toàn quy trình trình duyệt, đe dọa tính bảo mật, toàn vẹn và khả dụng của dữ liệu người dùng.

Cơ chế Gây lỗi: CWE-125 và CWE-787

Tài liệu trên GitHub cho thấy **lỗ hổng zero-day Chrome** này liên quan đến hai lỗi chung dễ bị khai thác cụ thể: **CWE-125** (out-of-bounds read) và **CWE-787** (out-of-bounds write). Cả hai đều tạo điều kiện cho việc làm hỏng bộ nhớ heap.

Khi bị khai thác, kẻ tấn công có thể thực thi mã tùy ý với các đặc quyền của quy trình Chrome bị xâm nhập, có khả năng leo thang đặc quyền lên hệ điều hành máy chủ hoặc thiết lập các cơ chế duy trì quyền truy cập (persistence mechanisms).

Khai thác Zero-Day: PoC Đã Công bố và Nguy cơ Leo Thang

Sự khẩn cấp xung quanh **CVE-2025-5419** tăng lên khi công ty tình báo bảo mật MistyMntNCop xuất bản một mã khai thác PoC đang hoạt động trên GitHub, cùng với hướng dẫn từng bước để kích hoạt lỗ hổng.

Bạn có thể tham khảo chi tiết mã khai thác PoC tại: GitHub – MistyMntNCop/CVE-2025-5419

Mã khai thác này chứng minh cách các sửa đổi nhỏ đối với một trang HTML bình thường có thể kích hoạt các mẫu làm hỏng bộ nhớ trong V8, cuối cùng dẫn đến thực thi mã tùy ý. Việc công khai PoC đồng nghĩa với bất kỳ ai có khả năng có thể tái tạo, điều chỉnh và vũ khí hóa lỗ hổng này.

Trung tâm Phản ứng An ninh của Microsoft cũng đã liệt kê **CVE-2025-5419** trong hướng dẫn lỗ hổng của mình, cảnh báo các quản trị viên doanh nghiệp rằng các thiết bị Windows đang chạy Chrome vẫn có nguy cơ cho đến khi được vá hoàn chỉnh. Để biết thêm thông tin về lỗ hổng, bạn có thể kiểm tra National Vulnerability Database (NVD).

Khuyến nghị Giảm thiểu và Cập nhật Bản vá Bảo mật Quan trọng

Mặc dù đã có các lời khuyên giảm thiểu được công bố, hiện không có giải pháp thay thế chính thức nào ngoài việc vô hiệu hóa JavaScript hoặc sử dụng các cờ sandbox nâng cao của Chrome. Tuy nhiên, cả hai tùy chọn này đều làm giảm đáng kể chức năng của trình duyệt.

Google vẫn chưa công bố phiên bản **bản vá bảo mật** chính xác, khiến các tổ chức phải tìm cách xác định liệu môi trường của họ có được bảo vệ hay không. Tình trạng này đặt ra một thách thức đáng kể cho **an ninh mạng** doanh nghiệp.

Các quản trị viên được khuyến nghị triển khai các bản cập nhật Chrome ngay sau khi các bản phát hành ổn định mới có sẵn. Đồng thời, cần theo dõi lưu lượng mạng để phát hiện các tải trọng HTML bất thường và cân nhắc sử dụng các giải pháp cách ly trình duyệt (browser isolation) để hạn chế phơi nhiễm.

Cho đến khi một phiên bản **bản vá bảo mật** chính thức được ghi lại, sự cảnh giác và phản ứng nhanh chóng vẫn là những biện pháp phòng thủ chính yếu chống lại **lỗ hổng zero-day Chrome** nguy hiểm này.