Google vừa phát hành bản cập nhật bảo mật khẩn cấp cho trình duyệt Chrome nhằm khắc phục một lỗ hổng zero-day nghiêm trọng đang bị khai thác tích cực bởi các tác nhân tấn công.
Chi tiết Kỹ thuật về CVE-2025-6554
Lỗ hổng này, được theo dõi là CVE-2025-6554, được phân loại là lỗi type confusion. Lỗi này tồn tại trong công cụ JavaScript V8 của Chrome, một thành phần cốt lõi chịu trách nhiệm xử lý nội dung web trên các nền tảng Windows, macOS và Linux.
Lỗ hổng CVE-2025-6554 được phát hiện bởi Clément Lecigne thuộc nhóm Threat Analysis Group (TAG) của Google vào ngày 25 tháng 6 năm 2025. Theo thông báo từ Google, đã có các khai thác (exploit) được phát triển và triển khai trong thực tế nhắm mục tiêu vào lỗ hổng này. Việc phát hiện khai thác chủ động đã thúc đẩy công ty phát hành bản vá khẩn cấp.
Tác động và Khả năng Khai thác
Lỗi type confusion này cho phép một kẻ tấn công từ xa thực hiện các thao tác đọc và ghi tùy ý trong bộ nhớ của trình duyệt. Điều này có thể được thực hiện bằng cách dụ dỗ người dùng truy cập vào các trang web được tạo ra một cách độc hại. Khai thác thành công lỗ hổng này có thể cho phép kẻ tấn công thực thi mã tùy ý (arbitrary code execution), từ đó tiềm ẩn nguy cơ dẫn đến việc kiểm soát hoàn toàn hệ thống mục tiêu.
Các lỗ hổng zero-day trong trình duyệt web có giá trị đặc biệt cao đối với cả các tác nhân được nhà nước tài trợ (state-sponsored actors) và các tổ chức tội phạm mạng. Chúng thường được sử dụng làm công cụ ban đầu để thực hiện các chiến dịch gián điệp, đánh cắp dữ liệu nhạy cảm hoặc làm phương tiện để phân phối các loại phần mềm độc hại (malware) khác nhau.
Bối cảnh Lịch sử và Mối đe dọa Liên quan
Các lỗ hổng type confusion trong công cụ V8 của Chrome không phải là mới. Trong quá khứ, những lỗ hổng tương tự đã từng liên quan đến nhiều loại hình tấn công phức tạp. Điển hình bao gồm các cuộc tấn công drive-by download, nơi phần mềm độc hại được tải xuống và cài đặt mà không cần sự tương tác rõ ràng của người dùng; các kỹ thuật thoát khỏi môi trường sandbox (sandbox escapes) để vượt qua các biện pháp bảo vệ của trình duyệt; và việc cài đặt các payload độc hại thông qua các trang web tưởng chừng vô hại, lợi dụng sự tin tưởng của người dùng.
Biện pháp Khắc phục và Khuyến nghị Cập nhật
Để giảm thiểu mối đe dọa từ CVE-2025-6554, Google đã phát hành các bản vá bảo mật. Người dùng được khuyến nghị cập nhật trình duyệt Chrome của mình lên các phiên bản sau:
- Đối với hệ điều hành Windows: Chrome 138.0.7204.96 và 138.0.7204.97.
- Đối với hệ điều hành Mac: Chrome 138.0.7204.92 và 138.0.7204.93.
- Đối với hệ điều hành Linux: Chrome 138.0.7204.96.
Bản cập nhật này đang được triển khai dần đến người dùng trong những ngày và tuần tới. Google đã hạn chế việc công bố thông tin kỹ thuật chi tiết về lỗ hổng này cho đến khi phần lớn người dùng đã áp dụng bản vá. Đây là một thực tiễn tiêu chuẩn trong ngành bảo mật, nhằm ngăn chặn việc các tác nhân độc hại khai thác thêm lỗ hổng trước khi người dùng kịp thời cập nhật.
Google kêu gọi tất cả người dùng Chrome cập nhật trình duyệt của họ ngay lập tức lên phiên bản mới nhất. Người dùng có thể dễ dàng kiểm tra và cài đặt bản cập nhật bằng cách truy cập menu Chrome, chọn mục “Trợ giúp” (Help), và sau đó chọn “Giới thiệu về Google Chrome” (About Google Chrome). Trình duyệt sẽ tự động kiểm tra các bản cập nhật có sẵn và tiến hành cài đặt.
Tầm quan trọng của Cảnh giác Liên tục
Sự cố này một lần nữa nhấn mạnh tầm quan trọng của việc duy trì cảnh giác liên tục đối với các mối đe dọa mạng, đặc biệt là khi các trình duyệt web phổ biến liên tục là mục tiêu của các tác nhân đe dọa tinh vi. Đội ngũ Threat Analysis Group (TAG) của Google, chuyên về việc theo dõi các nhóm được nhà nước tài trợ (nation-state actors) và các nhóm đe dọa dai dẳng nâng cao (APT – advanced persistent threat), vẫn đang tiếp tục giám sát chặt chẽ các dấu hiệu khai thác và khuyến cáo người dùng luôn giữ cảnh giác cao độ để bảo vệ hệ thống của mình.
