Google đã phát hành một bản cập nhật bảo mật khẩn cấp cho trình duyệt Chrome phiên bản 138 nhằm khắc phục một lỗ hổng zero-day nghiêm trọng đang bị khai thác tích cực trong thực tế. Lỗ hổng này, được định danh là CVE-2025-6558, ảnh hưởng đến các thành phần ANGLE và GPU của trình duyệt, buộc đội ngũ bảo mật của Google phải hành động ngay lập tức để bảo vệ người dùng khỏi các cuộc tấn công đang diễn ra.
Phân Tích Lỗ Hổng Zero-Day CVE-2025-6558
Lỗ hổng CVE-2025-6558 được Nhóm Phân tích Mối đe dọa (Threat Analysis Group – TAG) của Google phát hiện. Đây là một lỗ hổng có mức độ nghiêm trọng cao nằm trong các thành phần xử lý ANGLE và GPU của Chrome. Về bản chất, lỗ hổng này liên quan đến việc kiểm tra không chính xác dữ liệu đầu vào không đáng tin cậy. Trong môi trường trình duyệt web, việc xử lý dữ liệu đầu vào từ các nguồn không xác định hoặc độc hại mà không được xác thực đúng cách có thể dẫn đến các hậu quả nghiêm trọng.
Cụ thể, lỗ hổng “kiểm tra không chính xác dữ liệu đầu vào không đáng tin cậy” (incorrect validation of untrusted input) thường có thể mở đường cho nhiều loại tấn công, bao gồm nhưng không giới hạn ở: tràn bộ đệm (buffer overflows), ghi đè bộ nhớ (memory corruption), hoặc tiêm mã (code injection). Khi kẻ tấn công có thể thao túng dữ liệu đầu vào để vượt qua các kiểm soát bảo mật của trình duyệt, chúng có thể thực thi mã độc trên các hệ thống bị ảnh hưởng. Điều này có nghĩa là kẻ tấn công có khả năng kiểm soát máy tính của người dùng, đánh cắp dữ liệu, cài đặt phần mềm độc hại, hoặc thực hiện các hành vi gây hại khác.
Lỗ hổng này được các nhà nghiên cứu bảo mật Clément Lecigne và Vlad Stolyarov từ nhóm phân tích mối đe dọa nội bộ của Google xác định vào ngày 23 tháng 6 năm 2025. Điểm đáng lo ngại nhất trong phát hiện này là Google đã công khai xác nhận rằng “một mã khai thác (exploit) cho CVE-2025-6558 đang tồn tại trong thực tế” (an exploit for CVE-2025-6558 exists in the wild). Sự công nhận này đồng nghĩa với việc lỗ hổng được xếp vào loại zero-day.
Khái Niệm Zero-Day và Tầm Quan Trọng
Một lỗ hổng zero-day là một lỗ hổng bảo mật mà các nhà cung cấp phần mềm chưa biết đến hoặc chưa có bản vá công khai tại thời điểm nó bị phát hiện và khai thác bởi kẻ tấn công. Trong trường hợp của CVE-2025-6558, việc nó được xác định là zero-day chỉ ra rằng kẻ tấn công đã chủ động sử dụng lỗ hổng này để tấn công người dùng trước khi một bản vá được phát hành. Điều này đặt ra rủi ro đặc biệt cao, vì các hệ thống bị ảnh hưởng có thể đã bị xâm nhập và dữ liệu người dùng có thể đã bị đánh cắp hoặc bị tổn hại mà không có biện pháp phòng ngừa nào có sẵn cho đến khi bản cập nhật khẩn cấp được phát hành.
Các thành phần ANGLE (Almost Native Graphics Layer Engine) và GPU (Graphics Processing Unit) đóng vai trò quan trọng trong việc xử lý đồ họa và hiển thị nội dung web phức tạp trong Chrome. ANGLE là một lớp dịch thuật mã nguồn mở cho phép các ứng dụng dựa trên OpenGL ES chạy trên các nền tảng sử dụng DirectX hoặc các API đồ họa khác, đảm bảo hiệu suất hiển thị tối ưu. GPU chịu trách nhiệm xử lý các tác vụ đồ họa chuyên sâu, giúp tăng tốc độ render các trang web và ứng dụng đồ họa. Việc lỗ hổng ảnh hưởng đến các thành phần cốt lõi này cho thấy khả năng tác động rộng và nghiêm trọng.
Triển Khai Bản Cập Nhật Bảo Mật Khẩn Cấp
Bản cập nhật bảo mật khẩn cấp đã được Google triển khai trên tất cả các nền tảng hỗ trợ Chrome. Các phiên bản Chrome được cập nhật bao gồm:
- Windows: 138.0.7204.157/158
- Mac: 138.0.7204.157/158
- Linux: 138.0.7204.157
Đối với phiên bản Chrome trên Android, các bản vá bảo mật tương tự sẽ được triển khai thông qua Google Play trong những ngày tới.
Quan Trọng của Việc Cập Nhật Ngay Lập Tức
Do tình hình khai thác tích cực của CVE-2025-6558, người dùng được khuyến nghị mạnh mẽ cập nhật trình duyệt Chrome của họ ngay lập tức. Việc trì hoãn cập nhật có thể khiến các hệ thống tiếp tục dễ bị tổn thương trước các cuộc tấn công đang diễn ra. Hầu hết người dùng sẽ nhận được bản cập nhật tự động trong nền. Tuy nhiên, người dùng cũng có thể chủ động kiểm tra và khởi tạo quá trình cập nhật thủ công thông qua menu cài đặt của Chrome (truy cập chrome://settings/help hoặc Help > About Google Chrome).
Các Vấn Đề Bảo Mật Khác Được Khắc Phục
Ngoài lỗ hổng zero-day CVE-2025-6558, bản cập nhật này còn giải quyết nhiều vấn đề bảo mật khác được phát hiện thông qua các sáng kiến nghiên cứu bảo mật đang diễn ra của Google. Các bản vá bao gồm khắc phục:
- Lỗ hổng tràn số nguyên (integer overflow) trong V8, được định danh là CVE-2025-7656.
- Lỗ hổng sử dụng bộ nhớ sau khi giải phóng (use-after-free) trong WebRTC, được định danh là CVE-2025-7657.
V8 là công cụ JavaScript mã nguồn mở hiệu suất cao của Google, được sử dụng trong Chrome và Node.js. Lỗ hổng tràn số nguyên trong V8 có thể dẫn đến việc thực thi mã tùy ý hoặc từ chối dịch vụ nếu kẻ tấn công có thể gây ra một lỗi tính toán số học, làm sai lệch luồng chương trình. WebRTC (Web Real-Time Communication) là một tập hợp các công nghệ cho phép giao tiếp thời gian thực, chẳng hạn như cuộc gọi video và chia sẻ tệp ngang hàng, trực tiếp trong trình duyệt. Lỗ hổng use-after-free trong WebRTC xảy ra khi một chương trình cố gắng truy cập bộ nhớ đã được giải phóng, điều này có thể dẫn đến sự cố chương trình, rò rỉ thông tin nhạy cảm hoặc thậm chí thực thi mã tùy ý nếu kẻ tấn công có thể kiểm soát nội dung của vùng bộ nhớ đã được giải phóng đó.
Phương Pháp Phát Hiện và Chính Sách Tiết Lộ Bảo Mật của Google
Đội ngũ bảo mật của Google liên tục sử dụng các phương pháp phát hiện tiên tiến để xác định các lỗ hổng tiềm ẩn trước khi chúng tiếp cận kênh ổn định của Chrome. Các phương pháp này bao gồm:
- AddressSanitizer (ASan): Một công cụ phát hiện lỗi bộ nhớ chạy thời gian thực (runtime memory error detector) giúp tìm ra các lỗi như sử dụng bộ nhớ sau khi giải phóng, tràn bộ đệm, và các lỗi liên quan đến con trỏ khác.
- MemorySanitizer (MSan): Một công cụ tương tự ASan nhưng tập trung vào việc phát hiện việc sử dụng các giá trị bộ nhớ chưa được khởi tạo.
- Kỹ thuật Fuzzing: Bao gồm việc tự động tạo ra một lượng lớn dữ liệu đầu vào không hợp lệ, ngẫu nhiên hoặc bất ngờ để kiểm tra cách phần mềm xử lý chúng, nhằm mục đích tìm ra lỗi hoặc lỗ hổng bảo mật.
Những công cụ và kỹ thuật này giúp Google chủ động phát hiện và khắc phục các vấn đề bảo mật trước khi chúng bị kẻ tấn công khai thác. Google cũng đã áp dụng các hạn chế truy cập vào thông tin chi tiết về lỗi cho đến khi phần lớn người dùng đã cập nhật trình duyệt của họ. Đây là một thực hành tiết lộ bảo mật tiêu chuẩn nhằm ngăn chặn việc khai thác thêm lỗ hổng trong khi đảm bảo việc triển khai bảo vệ được phổ biến rộng rãi. Cách tiếp cận có tính toán này giúp bảo vệ người dùng bằng cách không cung cấp thông tin chi tiết về lỗ hổng cho kẻ tấn công trước khi các bản vá đã được áp dụng rộng rãi.
