Microsoft đã phát hành một bản cập nhật bảo mật quan trọng cho trình duyệt Edge, nhằm khắc phục một lỗ hổng nghiêm trọng được đánh giá ở mức độ cao trong công cụ Chromium, hiện đang bị khai thác tích cực trong thực tế.
Chi tiết Lỗ hổng CVE-2025-6554
Bản vá và Thông tin chung
Bản cập nhật được cung cấp trong kênh ổn định của Microsoft Edge, Phiên bản 138.0.3351.65, đã vá lỗ hổng CVE-2025-6554. Đây là một điểm yếu mà các chuyên gia bảo mật khẩn cấp khuyến nghị tất cả người dùng cần khắc phục ngay lập tức.
Bản chất Kỹ thuật: Lỗi Type Confusion trong V8 JavaScript Engine
CVE-2025-6554 là một lỗ hổng dạng type confusion (nhầm lẫn kiểu dữ liệu) được tìm thấy trong công cụ V8 JavaScript engine. V8 là thành phần cốt lõi chịu trách nhiệm xử lý JavaScript trong các trình duyệt dựa trên Chromium, bao gồm cả Edge và Chrome.
Lỗi type confusion xảy ra khi một chương trình giả định không chính xác kiểu dữ liệu của một đối tượng, cho phép kẻ tấn công truy cập bộ nhớ hoặc thực thi mã theo những cách không mong muốn. Trong trường hợp này, một kẻ tấn công từ xa có thể khai thác lỗ hổng bằng cách lừa người dùng truy cập một trang web độc hại. Sau khi truy cập, trang web này có khả năng thực thi mã tùy ý (arbitrary code) trên máy của nạn nhân.
Mức độ nghiêm trọng và Tình trạng Khai thác
Lỗ hổng này được nhóm Threat Analysis Group (TAG) của Google báo cáo lần đầu tiên và được xác nhận là đang bị khai thác tích cực trong các cuộc tấn công thực tế. Cơ quan An ninh Cơ sở hạ tầng và An ninh Mạng Hoa Kỳ (CISA) cũng đã bổ sung CVE-2025-6554 vào Danh mục các Lỗ hổng Bị Khai thác Công khai (Known Exploited Vulnerabilities Catalog), nhấn mạnh sự cần thiết cấp bách phải vá lỗi trên cả khu vực công và tư.
Lỗ hổng được đánh giá với điểm cơ sở CVSS v3.1 là 8.1 (Mức độ Cao). Điều này phản ánh khả năng tác động đáng kể của nó đến tính bảo mật (confidentiality) và tính toàn vẹn (integrity) của hệ thống, mặc dù nó không ảnh hưởng trực tiếp đến tính khả dụng (availability).
Tác động của Khai thác thành công
Khai thác thành công lỗ hổng CVE-2025-6554 có thể cho phép kẻ tấn công thực hiện các hành vi độc hại như cài đặt phần mềm độc hại (malware), đánh cắp dữ liệu nhạy cảm hoặc giành quyền kiểm soát hệ thống bị ảnh hưởng. Mức độ tác động này có thể đặc biệt nghiêm trọng nếu người dùng đang có đặc quyền cao trên hệ thống.
Lỗ hổng bổ sung: CVE-2025-49713 (Đặc trưng cho Edge)
Bên cạnh bản vá Chromium, phiên bản Microsoft Edge 138.0.3351.65 còn xử lý một lỗ hổng khác đặc trưng cho Edge là CVE-2025-49713. Lỗ hổng này cũng là một lỗi type confusion có thể cho phép thực thi mã từ xa trái phép. Cả hai lỗ hổng này đều làm tăng đáng kể rủi ro bị xâm phạm hệ thống nếu không được vá kịp thời.
Khuyến nghị Khắc phục
Tất cả người dùng và quản trị viên được khuyến nghị mạnh mẽ cập nhật ngay lập tức Microsoft Edge lên phiên bản 138.0.3351.65 hoặc mới hơn. Bản cập nhật này hiện đã có sẵn cho các nền tảng Windows, macOS, iOS và Android.
Việc trì hoãn cài đặt bản vá này sẽ khiến hệ thống tiếp tục dễ bị tổn thương trước các cuộc tấn công đang diễn ra, lợi dụng những lỗ hổng này. Đối với các tổ chức, đặc biệt là những đơn vị hoạt động trong các lĩnh vực có rủi ro cao, việc vá lỗi nhanh chóng là cực kỳ quan trọng để ngăn chặn sự khai thác và khả năng bị xâm nhập hệ thống.
