Google đã phát hành Chrome 140 lên kênh ổn định cho các nền tảng Windows, Mac và Linux. Bản cập nhật này mang đến một **bản vá bảo mật** quan trọng, sẽ được triển khai tới người dùng trong những ngày và tuần tới.

Phiên bản mới, cụ thể là **140.0.7339.80** cho Linux và **140.0.7339.80/81** cho Windows và Mac, tập trung vào việc khắc phục nhiều vấn đề bảo mật cùng với các cải tiến khác. Người dùng kênh Extended Stable trên Windows và Mac sẽ nhận phiên bản **140.0.7339.81**.

Tổng quan các cải tiến bảo mật trong Chrome 140

Chrome 140 bao gồm tổng cộng **sáu bản sửa lỗi bảo mật**. Trong số đó, **ba lỗi đã được báo cáo và đóng góp bởi các nhà nghiên cứu độc lập bên ngoài** Google. Điều này thể hiện cam kết của Google trong việc khuyến khích cộng đồng bảo mật tham gia phát hiện và báo cáo các điểm yếu. Google đã công bố chi tiết về các khoản thưởng dành cho những nhà nghiên cứu này.

Các bản sửa lỗi này nhằm giải quyết các rủi ro nghiêm trọng, đặc biệt là những lỗ hổng có thể dẫn đến **remote code execution** (thực thi mã từ xa) và các mối đe dọa liên quan. Việc khắc phục kịp thời các **lỗ hổng CVE** này là yếu tố then chốt để đảm bảo **an ninh mạng** cho người dùng.

Chi tiết các lỗ hổng CVE được khắc phục

Dưới đây là tóm tắt về các lỗi bảo mật chính đã được giải quyết trong bản cập nhật này, nêu bật mức độ nghiêm trọng và tác động tiềm tàng của chúng.

CVE-2025-9864: Lỗi Use-After-Free nghiêm trọng trong V8 JavaScript Engine

Vấn đề nghiêm trọng nhất được khắc phục là **CVE-2025-9864**, một **lỗ hổng use-after-free** trong engine JavaScript V8 của Chrome. Lỗi use-after-free xảy ra khi một chương trình cố gắng truy cập bộ nhớ sau khi nó đã được giải phóng, dẫn đến hành vi không xác định và thường có thể bị khai thác để thực thi mã độc.

Lỗ hổng **lỗ hổng CVE** này có thể cho phép kẻ tấn công thực thi mã độc từ xa trên hệ thống của nạn nhân. Hậu quả tiềm tàng bao gồm đánh cắp dữ liệu nhạy cảm hoặc chiếm quyền kiểm soát toàn bộ hệ thống. Google đã gửi lời cảm ơn đến **Pavel Kuzmin** của Yandex Security Team vì đã báo cáo lỗi này vào ngày 28 tháng 7 năm 2025.

CVE-2025-9865: Lỗi triển khai không phù hợp trong Toolbar

Một bản sửa lỗi đáng chú ý khác là **CVE-2025-9865**, liên quan đến việc triển khai không phù hợp trong thành phần Toolbar của Chrome. Lỗi này có thể dẫn đến các hành vi không mong muốn hoặc khả năng bị lạm dụng nếu không được kiểm soát chặt chẽ.

**Khalil Zhani** đã báo cáo **lỗ hổng CVE** này vào ngày 7 tháng 8 năm 2025, và nhận được khoản tiền thưởng **5000 USD** từ Google cho đóng góp của mình.

CVE-2025-9866: Lỗi trong hệ thống Extensions

Hệ thống Extensions của Chrome cũng đối mặt với một số báo cáo về **lỗ hổng CVE**, trong đó có **CVE-2025-9866**. Lỗi này được nhà nghiên cứu **NDevTK** báo cáo vào ngày 16 tháng 11 năm 2024. Đóng góp này đã mang lại cho NDevTK khoản tiền thưởng **4000 USD**.

Các lỗ hổng trong tiện ích mở rộng có thể đặc biệt nguy hiểm vì chúng thường có quyền truy cập rộng vào dữ liệu trình duyệt và tương tác với các trang web. Việc khắc phục **lỗ hổng CVE** này là rất quan trọng để duy trì tính toàn vẹn của trình duyệt và dữ liệu người dùng.

CVE-2025-9867: Lỗi trong thành phần Downloads

Ngoài ra, **CVE-2025-9867**, một lỗi liên quan đến thành phần Downloads, cũng đã được xử lý. Lỗi này do **Farras Givari** báo cáo vào ngày 4 tháng 5 năm 2025 và nhận được khoản tiền thưởng **1000 USD**. Các lỗ hổng trong hệ thống tải xuống có thể bị lạm dụng để chèn mã độc vào các tệp tải về hoặc thay đổi hành vi tải xuống.

Những cải tiến bảo mật nội bộ và quy trình kiểm tra

Ngoài các đóng góp từ bên ngoài, các nhóm nội bộ của Google liên tục nâng cao **an ninh mạng** của Chrome thông qua các hoạt động kiểm tra nghiêm ngặt. Những sáng kiến này bao gồm kiểm toán mã nguồn, kiểm tra fuzzing (fuzzing), và nhiều phương pháp khác được thiết kế để phát hiện sớm các điểm yếu.

Một bản sửa lỗi nội bộ tổng hợp, có ID **442611697**, đã giải quyết nhiều **lỗ hổng CVE** khác nhau. Các lỗ hổng này được phát hiện thông qua việc sử dụng các công cụ kiểm tra tiên tiến như **AddressSanitizer**, **MemorySanitizer**, **UndefinedBehaviorSanitizer**, **Control Flow Integrity**, **libFuzzer**, và **AFL**.

Các công cụ này giúp xác định các vấn đề về quản lý bộ nhớ, hành vi không xác định và luồng điều khiển, từ đó củng cố khả năng phòng thủ của Chrome chống lại các cuộc tấn công tinh vi.

Khuyến nghị và biện pháp phòng ngừa

Người dùng được khuyến nghị cập nhật Chrome ngay lập tức khi phiên bản mới xuất hiện trên thiết bị của họ. Việc duy trì trình duyệt Chrome ở phiên bản mới nhất là phương pháp hiệu quả nhất để tự bảo vệ khỏi các rủi ro như **remote code execution**, đánh cắp dữ liệu và các mối đe dọa **an ninh mạng** khác.

Để kiểm tra và cập nhật, người dùng có thể truy cập phần “About Google Chrome” trong cài đặt trình duyệt. Việc này đảm bảo rằng bạn được hưởng lợi từ các bản vá bảo mật và cải tiến mới nhất, giảm thiểu khả năng bị khai thác bởi các **lỗ hổng CVE** đã biết.

Để biết thêm thông tin chi tiết về các bản vá này, bạn có thể tham khảo thông báo chính thức trên blog của Chrome Releases: Chrome Releases Blog.