Google đã phát hành một bản cập nhật bảo mật khẩn cấp dành cho người dùng trình duyệt Chrome trên toàn thế giới, nhằm khắc phục bốn lỗ hổng nghiêm trọng. Đáng chú ý nhất là một lỗ hổng zero-day đang bị khai thác tích cực trên thực tế, đặt ra nguy cơ cao cho người dùng.

Công ty khuyến cáo tất cả người dùng cập nhật trình duyệt ngay lập tức để bảo vệ mình khỏi các cuộc tấn công tiềm tàng và đảm bảo an toàn thông tin cá nhân cũng như hệ thống.

Lỗ Hổng Zero-Day CVE-2025-10585 và Khai Thác Thực Tế

Lỗ hổng zero-day đáng lo ngại nhất trong bản cập nhật bảo mật này là CVE-2025-10585. Đây là một lỗi type confusion mức độ nghiêm trọng cao trong công cụ V8 JavaScript của Chrome.

Lỗ hổng này được nhóm Google’s Threat Analysis Group phát hiện và báo cáo vào ngày 16 tháng 9 năm 2025. Google đã xác nhận rằng các tác nhân độc hại đang tích cực khai thác điểm yếu này trong các cuộc tấn công thực tế.

Để biết thêm chi tiết về thông báo chính thức, người dùng có thể tham khảo tại: Google Chrome Releases.

Cơ Chế Khai Thác và Ảnh Hưởng

Lỗi type confusion trong công cụ V8 cho phép kẻ tấn công thực thi mã độc trên máy tính của nạn nhân. Việc này có thể xảy ra chỉ bằng cách lừa người dùng truy cập một trang web đã bị xâm nhập chứa JavaScript được thiết kế đặc biệt.

Kiểu tấn công này không yêu cầu bất kỳ tương tác nào từ phía người dùng ngoài việc tải trang web. Điều này khiến nó đặc biệt nguy hiểm và có khả năng bị lợi dụng rộng rãi trong các chiến dịch khai thác.

Việc thực thi mã từ xa (remote code execution) thông qua một lỗ hổng zero-day như vậy có thể dẫn đến việc chiếm quyền kiểm soát hệ thống, đánh cắp dữ liệu nhạy cảm hoặc cài đặt mã độc tống tiền (ransomware).

Các CVE Nghiêm Trọng Khác Được Vá Trong Bản Cập Nhật

Ngoài lỗ hổng zero-day đang bị khai thác tích cực, bản cập nhật Chrome mới nhất của Google còn giải quyết ba CVE nghiêm trọng khác. Các lỗ hổng này đều có tiềm năng dẫn đến việc xâm nhập hệ thống nếu bị khai thác.

Để tìm hiểu thêm về các lỗ hổng CVE nói chung, bạn có thể truy cập cơ sở dữ liệu quốc gia về lỗ hổng: NVD – National Vulnerability Database.

CVE-2025-10500: Lỗ Hổng Use-After-Free trong Dawn WebGPU

Đây là một lỗ hổng use-after-free được phát hiện bởi nhà nghiên cứu bảo mật Giunash. Lỗi này đã mang lại cho nhà nghiên cứu phần thưởng trị giá 15.000 USD.

Lỗ hổng use-after-free là một loại lỗi hỏng bộ nhớ. Nó xảy ra khi một chương trình cố gắng truy cập bộ nhớ sau khi nó đã được giải phóng. Kẻ tấn công có thể lợi dụng điều này để thực thi mã độc hoặc gây ra tình trạng từ chối dịch vụ.

CVE-2025-10501: Lỗ Hổng Use-After-Free trong WebRTC

Bản cập nhật cũng vá một lỗi use-after-free khác trong các thành phần WebRTC. Lỗ hổng này được báo cáo bởi nhà nghiên cứu “sherkito” và nhận được phần thưởng 10.000 USD.

Tương tự như CVE-2025-10500, lỗ hổng này cũng tiềm ẩn nguy cơ cao về việc thực thi mã từ xa hoặc gây mất ổn định hệ thống. WebRTC là một công nghệ quan trọng cho truyền thông thời gian thực trên trình duyệt.

CVE-2025-10502: Heap Buffer Overflow trong ANGLE Graphics Layer

Lỗ hổng thứ ba là một lỗi heap buffer overflow trong lớp đồ họa ANGLE. Lỗi này được xác định bởi hệ thống tự động Big Sleep của Google.

Heap buffer overflow xảy ra khi một chương trình ghi dữ liệu vượt quá giới hạn của vùng bộ nhớ được cấp phát trên heap. Điều này có thể dẫn đến việc ghi đè lên dữ liệu lân cận, thay đổi luồng thực thi của chương trình và có thể cho phép thực thi mã độc.

Quy Trình Cập Nhật Bản Vá Khẩn Cấp

Phiên bản Chrome 140.0.7339.185/.186 dành cho Windows và Mac, cùng với phiên bản 140.0.7339.185 dành cho Linux, hiện đang được triển khai trên toàn cầu.

Người dùng nên thực hiện cập nhật bản vá ngay lập tức để bảo vệ trình duyệt của mình. Quy trình cập nhật rất đơn giản và có thể được thực hiện thủ công để đảm bảo bảo vệ tức thì.

Các Bước Cập Nhật Trình Duyệt Google Chrome

• Mở trình duyệt Google Chrome.
• Nhấp vào biểu tượng ba chấm ở góc trên cùng bên phải của trình duyệt.
• Chọn “Help” (Trợ giúp) và sau đó chọn “About Google Chrome” (Giới thiệu về Google Chrome).
• Trình duyệt sẽ tự động kiểm tra và bắt đầu quá trình cập nhật bản vá nếu có phiên bản mới.
• Sau khi quá trình tải xuống hoàn tất, bạn cần khởi động lại Chrome để áp dụng bản cập nhật.

Google đã triển khai lịch trình phát hành bản cập nhật theo từng giai đoạn. Điều này có nghĩa là có thể mất vài ngày hoặc vài tuần để tất cả người dùng nhận được bản vá tự động. Tuy nhiên, việc kiểm tra cập nhật thủ công sẽ đảm bảo người dùng được bảo vệ ngay lập tức trước những lỗ hổng zero-day và các mối đe dọa bảo mật nghiêm trọng này.

Khuyến Nghị Bảo Mật cho Tổ Chức

Các chuyên gia bảo mật khuyến nghị các tổ chức ưu tiên việc cập nhật bản vá Chrome trên toàn bộ mạng lưới của mình. Việc triển khai các biện pháp bảo mật bổ sung cũng nên được xem xét cho đến khi tất cả các hệ thống được vá lỗi đầy đủ chống lại các lỗ hổng này.

Đây là một bước quan trọng để giảm thiểu rủi ro bị khai thác, đặc biệt là khi có một lỗ hổng zero-day đang bị khai thác trong môi trường thực tế.