Google đã phát hành một bản cập nhật bảo mật khẩn cấp cho kênh Chrome Stable. Bản cập nhật này nhằm khắc phục một lỗ hổng use-after-free nghiêm trọng trong thư viện đồ họa ANGLE. Đây là một lỗ hổng Chrome đáng báo động, có thể cho phép kẻ tấn công thực thi mã tùy ý trên các hệ thống bị ảnh hưởng.

Các bản vá lỗi được tích hợp trong các phiên bản Chrome Stable 139.0.7258.154/.155 trên Windows và macOS, cũng như 139.0.7258.154 trên Linux. Người dùng được khuyến nghị cập nhật trình duyệt ngay lập tức. Đây là một bản vá bảo mật quan trọng sẽ tự động triển khai trong những ngày và tuần tới.

Chi tiết về Lỗ hổng CVE-2025-9478

Lỗ hổng này được theo dõi dưới mã định danh CVE-2025-9478. Nó được nhóm Google Big Sleep phát hiện vào ngày 11 tháng 8 năm 2025. Lỗ hổng nghiêm trọng này tồn tại trong thành phần ANGLE của trình duyệt Chrome.

ANGLE đóng vai trò thiết yếu trong việc chuyển đổi các lệnh gọi OpenGL ES thành các lệnh gọi API đồ họa gốc trên nhiều nền tảng. Bất kỳ điểm yếu nào trong thành phần này đều là một rủi ro đáng kể đối với lỗ hổng Chrome và trải nghiệm người dùng.

Cơ chế Khai thác và Tác động

Một trang web độc hại có thể khai thác lỗ hổng CVE-2025-9478 để kích hoạt điều kiện use-after-free. Tình trạng này xảy ra khi bộ nhớ đã được giải phóng lại được tái sử dụng, dẫn đến các lỗi bộ nhớ nghiêm trọng và tiềm năng khai thác.

Bằng cách thiết kế cẩn thận các thao tác WebGL hoặc Canvas, kẻ tấn công có thể làm hỏng bộ nhớ trình duyệt. Điều này cho phép chúng đạt được remote code execution (thực thi mã từ xa) với quyền hạn của người dùng hiện tại trên hệ thống. Khả năng remote code execution là mối đe dọa cực kỳ nghiêm trọng.

Với vai trò trung tâm của ANGLE trong pipeline kết xuất của Chrome trên cả nền tảng máy tính để bàn và di động. Việc khai thác lỗ hổng Chrome này có thể được kịch bản hóa trong tình huống tải xuống tự động (drive-by download).

Nạn nhân chỉ cần truy cập một trang web bị xâm phạm hoặc được tạo ra một cách độc hại là đủ để kích hoạt cuộc tấn công. Đây là một kịch bản phổ biến đối với các lỗ hổng Chrome zero-day.

Khai thác thành công lỗ hổng nghiêm trọng CVE-2025-9478 có thể cho phép kẻ tấn công cài đặt mã độc. Chúng cũng có thể đánh cắp dữ liệu nhạy cảm hoặc xâm nhập sâu hơn vào mạng lưới công ty. Điều này khiến lỗ hổng Chrome này trở nên đặc biệt nguy hiểm cho các mục tiêu giá trị cao và người dùng doanh nghiệp.

Biện pháp Giảm thiểu và Khuyến nghị

Đội ngũ bảo mật của Google đã nhanh chóng triển khai bản vá trong các bản dựng Stable mới nhất. Các quản trị viên quản lý triển khai lớn nên đảm bảo rằng phiên bản 139.0.7258.154/.155 được cập nhật không chậm trễ để bảo vệ hệ thống khỏi lỗ hổng Chrome này.

Đối với các tổ chức có quy trình quản lý thay đổi nghiêm ngặt, Google cung cấp gói doanh nghiệp và trình cài đặt MSI của Chrome. Điều này nhằm tạo điều kiện thuận lợi cho việc triển khai bản vá bảo mật ngoại tuyến hoặc theo từng giai đoạn.

Ngoài việc cập nhật Chrome lên phiên bản mới nhất, các đội ngũ bảo mật nên áp dụng các biện pháp bổ sung để tăng cường an ninh mạng tổng thể. Việc này bao gồm việc thường xuyên đánh giá các lỗ hổng Chrome tiềm ẩn khác.

• Thực hiện các chính sách bảo mật trình duyệt nghiêm ngặt.
• Đào tạo người dùng về nhận diện các trang web độc hại và tấn công lừa đảo (phishing).
• Sử dụng các giải pháp bảo mật điểm cuối (endpoint security) để phát hiện và ngăn chặn mã độc hiệu quả.

Google tiếp tục hỗ trợ việc phát hiện lỗ hổng cộng tác bằng cách trao thưởng cho các lỗi được báo cáo từ bên ngoài. Mặc dù chi tiết kỹ thuật đầy đủ về lỗ hổng CVE-2025-9478 vẫn bị hạn chế cho đến khi đa số người dùng nhận được bản vá. Việc ghi nhận nhà nghiên cứu bên ngoài nhấn mạnh giá trị của quan hệ đối tác công-tư trong việc bảo mật các dự án mã nguồn mở. Đây là yếu tố then chốt để duy trì một môi trường an ninh mạng an toàn hơn và giảm thiểu rủi ro từ lỗ hổng Chrome.