Lỗ Hổng Bảo Mật Nghiêm Trọng Google Chrome: Cách Bảo Vệ Dữ Liệu An Toàn

18/06/2025
2 mins read
Nội dung
Các Lỗ Hổng Bảo Mật Nghiêm Trọng Trong Google Chrome: Chi Tiết và Biện Pháp Khắc Phục
Tổng Quan Về Lỗ Hổng
Chi Tiết Lỗ Hổng
CVE-2025-5419
CVE-2025-5959
CVE-2025-4664
Lời Kết

Các Lỗ Hổng Bảo Mật Nghiêm Trọng Trong Google Chrome: Chi Tiết và Biện Pháp Khắc Phục

Google gần đây đã vá một số lỗ hổng bảo mật nghiêm trọng trong trình duyệt Google Chrome, ảnh hưởng đến các thành phần cốt lõi như engine V8 và Loader. Bài viết này cung cấp thông tin chi tiết về các lỗ hổng được theo dõi dưới mã định danh CVE, phân tích kỹ thuật, khả năng khai thác và hướng dẫn khắc phục nhằm giúp các chuyên viên bảo mật và quản trị hệ thống bảo vệ tài sản CNTT của mình.

Tổng Quan Về Lỗ Hổng

Google đã phát hành bản cập nhật để vá các lỗ hổng bảo mật high-severity trong Google Chrome. Các lỗ hổng này có thể bị khai thác từ xa thông qua các trang HTML được thiết kế độc hại, dẫn đến các rủi ro như thực thi mã tùy ý hoặc rò rỉ dữ liệu cross-origin. Dưới đây là thông tin chi tiết về từng lỗ hổng.

Chi Tiết Lỗ Hổng

CVE-2025-5419

  • Mô tả: Lỗ hổng out-of-bounds read và write trong engine V8 của Google Chrome. Lỗ hổng này cho phép kẻ tấn công từ xa khai thác heap corruption thông qua một trang HTML được thiết kế độc hại.
  • Phiên bản bị ảnh hưởng: Các phiên bản trước 137.0.7151.68.
  • Phân tích kỹ thuật: Lỗ hổng liên quan đến việc thao túng các vùng bộ nhớ không được phép truy cập, từ đó cho phép kẻ tấn công thực thi mã với quyền hạn không được cấp.
  • Khai thác: Kẻ tấn công có thể tạo ra một trang HTML độc hại để gây ra hiện tượng heap corruption, một kỹ thuật thường được sử dụng trong các cuộc tấn công nâng cao.
  • Biện pháp khắc phục: Người dùng cần nâng cấp lên phiên bản mới nhất trong stable channel:
    • Windows: 137.0.7151.68/69
    • Mac: 137.0.7151.68
    • Linux: 137.0.7151.68
  • Công cụ phát hiện: Khách hàng của Qualys có thể sử dụng QID 383328 để quét và phát hiện các thiết bị dễ bị tấn công.

CVE-2025-5959

  • Mô tả: Lỗ hổng type confusion trong engine V8, cho phép kẻ tấn công từ xa thực thi mã tùy ý trong môi trường sandbox thông qua một trang HTML độc hại.
  • Phiên bản bị ảnh hưởng: Các phiên bản trước 137.0.7151.103.
  • Biện pháp khắc phục: Người dùng cần cập nhật lên phiên bản 137.0.7151.103 hoặc mới hơn để khắc phục lỗ hổng.

CVE-2025-4664

  • Mô tả: Lỗ hổng zero-day trong thành phần Loader của Google Chrome và các trình duyệt dựa trên Chromium. Lỗ hổng này cho phép các trang web độc hại rò rỉ dữ liệu cross-origin từ các trang web khác mà người dùng truy cập, gửi dữ liệu đến máy chủ do kẻ tấn công kiểm soát mà không bị phát hiện.
  • Phiên bản bị ảnh hưởng:
    • Windows: Trước 136.0.7103.113
    • Debian 11 Linux: Lên đến 120.0.6099.224
    • Gentoo Linux: Trước 136.0.7103.113
  • Biện pháp khắc phục: Người dùng cần nâng cấp trình duyệt lên các phiên bản không bị ảnh hưởng:
    • Windows: 136.0.7103.113 hoặc mới hơn
    • Debian 11 Linux: 120.0.6099.225 hoặc mới hơn
    • Gentoo Linux: 136.0.7103.113 hoặc mới hơn

Lời Kết

Các lỗ hổng bảo mật trong Google Chrome, đặc biệt là các lỗ hổng zero-day như CVE-2025-4664, đặt ra nguy cơ nghiêm trọng đối với người dùng và tổ chức. Việc cập nhật trình duyệt lên phiên bản mới nhất là biện pháp quan trọng và cấp bách để giảm thiểu rủi ro từ các cuộc tấn công từ xa. Các quản trị viên hệ thống và chuyên viên bảo mật nên triển khai các bản vá ngay lập tức và sử dụng các công cụ quét để phát hiện các thiết bị dễ bị tấn công trong môi trường của mình.