Google đã phát hành bản cập nhật bảo mật khẩn cấp cho Chrome sau khi phát hiện một lỗ hổng zero-day nghiêm trọng mà tội phạm mạng đang tích cực khai thác trong các cuộc tấn công thực tế. Nhóm Phân tích Mối đe dọa của công ty đã xác định được lỗ hổng này vào cuối tháng 5, thúc đẩy phản ứng ngay lập tức để bảo vệ hàng triệu người dùng trên toàn thế giới.
Lỗ hổng nghiêm trọng trên V8 Engine gây ra rủi ro lớn
Lỗ hổng mới được phát hiện, được ký hiệu là CVE-2025-5419, nhắm vào công cụ JavaScript V8 của Chrome với lỗ hổng đọc và ghi ngoài giới hạn. Điểm yếu bảo mật này cho phép kẻ tấn công từ xa khai thác tham nhũng heap thông qua các trang HTML được tạo ra một cách đặc biệt. Lỗ hổng này có điểm mức độ nghiêm trọng cao là 8.8, phản ánh tiềm năng gây thiệt hại đáng kể.
Tội phạm mạng có thể tận dụng lỗ hổng này bằng cách tạo ra các trang web độc hại thực thi mã tùy ý trên hệ thống của khách truy cập. Một khi bị khai thác, lỗ hổng này có thể dẫn đến việc xâm phạm hoàn toàn hệ thống, đánh cắp dữ liệu nhạy cảm, hoặc triển khai thêm phần mềm độc hại. Việc sử dụng rộng rãi công cụ V8 trong Chrome , Node.js , và các ứng dụng web phổ biến như Google Docs và Gmail khiến lỗ hổng này đặc biệt đáng lo ngại.
Chi tiết lỗ hổng bảo mật
- CVE ID: CVE-2025-5419
- Điểm mức độ nghiêm trọng: 8.8 (Cao)
- Loại: Lỗ hổng đọc và ghi vượt quá giới hạn
- Thành phần bị ảnh hưởng: Công cụ JavaScript V8
- Ngày phát hiện: 27 tháng 5, 2025
- Trạng thái: Đang bị khai thác tích cực trên thực tế
Thời gian phát hiện và phản ứng
Các nhà nghiên cứu bảo mật Clement Lecigne và Benoît Sevens từ Nhóm Phân tích Mối đe dọa của Google đã phát hiện và báo cáo lỗ hổng này vào ngày 27 tháng 5 năm 2025. Google đã hành động nhanh chóng, đẩy một thay đổi cấu hình lên phiên bản ổn định của Chrome chỉ một ngày sau khi phát hiện. Công ty sau đó đã phát hành bản cập nhật kênh ổn định toàn diện vào thứ Hai, giải quyết không chỉ lỗ hổng zero-day mà còn hai vấn đề bảo mật bổ sung.
Google đã xác nhận rằng kẻ tấn công đang tích cực khai thác lỗ hổng này trong thực tế nhưng đã cố ý giữ kín các chi tiết cụ thể về phương pháp tấn công và thủ phạm. Cách tiếp cận thận trọng này nhằm ngăn chặn các tác nhân độc hại khác tận dụng lỗi này trong khi người dùng Chrome áp dụng bản vá bảo mật cần thiết.
Dòng thời gian Zero-Day Chrome 2025
- Tháng 3/2025: Zero-day đầu tiên - cho phép triển khai malware trong các cuộc tấn công gián điệp
- Tháng 5/2025: Zero-day thứ hai - cho phép chiếm quyền kiểm soát tài khoản
- Tháng 6/2025: Zero-day thứ ba ( CVE-2025-5419 ) - lỗ hổng engine V8
Thông tin cập nhật thiết yếu cho người dùng
Người dùng Chrome phải ngay lập tức cập nhật lên phiên bản 137.0.7151.68 hoặc 137.0.7151.69 cho hệ thống Windows và macOS , hoặc phiên bản 137.0.7151.68 cho các bản phân phối Linux . Mặc dù Chrome thường tự động cập nhật khi khởi động lại trình duyệt, người dùng nên xác minh thủ công phiên bản của họ để đảm bảo được bảo vệ.
Để kiểm tra cập nhật, người dùng có thể điều hướng đến menu Chrome , chọn Help, sau đó About Google Chrome . Nếu có bản cập nhật, người dùng nên cho phép quá trình cài đặt hoàn tất và khởi động lại trình duyệt ngay lập tức. Quá trình xác minh thủ công này rất quan trọng do việc khai thác tích cực lỗ hổng này.
Phiên bản Chrome yêu cầu
- Windows: 137.0.7151.68 hoặc 137.0.7151.69
- macOS: 137.0.7151.68 hoặc 137.0.7151.69
- Linux: 137.0.7151.68
Xu hướng gia tăng các cuộc tấn công Zero-Day trên Chrome
Sự cố bảo mật mới nhất này đánh dấu lỗ hổng zero-day thứ ba trên Chrome được phát hiện trong năm 2025, sau các bản vá khẩn cấp trước đó được phát hành vào tháng 3 và tháng 5. Các lỗ hổng trước đó đã cho phép triển khai phần mềm độc hại trong các chiến dịch gián điệp và tạo điều kiện cho các cuộc tấn công chiếm đoạt tài khoản, tương ứng. Xu hướng này thể hiện một mối lo ngại đáng kể, đặc biệt xem xét Google đã giải quyết mười lỗ hổng zero-day trong Chrome trong suốt năm 2024.
Tần suất của các vấn đề bảo mật nghiêm trọng này làm nổi bật những thách thức đang diễn ra mà các nhà phát triển trình duyệt phải đối mặt trong việc duy trì bảo mật chống lại các tác nhân đe dọa tinh vi. Người dùng phải luôn cảnh giác về việc áp dụng các bản cập nhật bảo mật kịp thời để bảo vệ bản thân khỏi các mối đe dọa mới nổi nhắm vào trình duyệt web.