Phân Tích Lỗ Hổng Zero-Day CVE-2025-5419 Trên Google Chrome

18/06/2025
2 mins read
Nội dung
Phân Tích Lỗ Hổng Bảo Mật Zero-Day Trong Google Chrome
Tổng Quan
Chi Tiết Lỗ Hổng CVE-2025-5419
Phân Tích Kỹ Thuật
Khai Thác (Exploitation)
Biện Pháp Khắc Phục (Mitigation)
Thông Tin Lỗ Hổng Bổ Sung
Kết Luận

Phân Tích Lỗ Hổng Bảo Mật Zero-Day Trong Google Chrome

Tổng Quan

Google vừa phát hành bản cập nhật bảo mật để vá một lỗ hổng zero-day nghiêm trọng (CVE-2025-5419) trong trình duyệt Chrome. Lỗ hổng này hiện đang bị khai thác tích cực trong thực tế, đòi hỏi người dùng cần cập nhật ngay lập tức để bảo vệ hệ thống.

Chi Tiết Lỗ Hổng CVE-2025-5419

CVE-2025-5419: Đây là lỗ hổng đọc và ghi vượt phạm vi (out-of-bounds read and write) trong engine V8 JavaScript của Chrome. Lỗ hổng này có thể bị khai thác để thực thi mã tùy ý (arbitrary code) trên hệ thống của nạn nhân, gây ra rủi ro nghiêm trọng cho bảo mật.

Phân Tích Kỹ Thuật

Lỗ hổng CVE-2025-5419 nằm trong engine V8 JavaScript của Chrome, cho phép kẻ tấn công thực hiện các thao tác đọc và ghi vượt phạm vi bộ nhớ. Điều này dẫn đến khả năng làm hỏng bộ nhớ, từ đó tạo điều kiện để thực thi mã độc hại hoặc truy cập dữ liệu nhạy cảm trên hệ thống nạn nhân.

Khai Thác (Exploitation)

Lỗ hổng này hiện đang bị khai thác tích cực trong thực tế. Kẻ tấn công có thể sử dụng một trang HTML được thiết kế độc hại để kích hoạt lỗ hổng, từ đó:

  • Làm hỏng bộ nhớ và kiểm soát luồng thực thi.
  • Thực thi mã tùy ý trên máy của nạn nhân.
  • Gây crash trình duyệt hoặc hệ thống.
  • Truy cập trái phép vào dữ liệu nhạy cảm.

Biện Pháp Khắc Phục (Mitigation)

Người dùng Chrome được khuyến nghị cập nhật ngay trình duyệt lên các phiên bản sau để vá lỗ hổng:

  • Windows và macOS: Phiên bản 137.0.7151.68 hoặc 137.0.7151.69.
  • Linux: Phiên bản 137.0.7151.68.

Ngoài ra, người dùng nên bật tính năng tự động cập nhật trong Chrome để đảm bảo trình duyệt luôn ở trạng thái mới nhất. Để kiểm tra và cập nhật Chrome, làm theo các bước sau:

  1. Mở Chrome và nhấp vào biểu tượng ba chấm ở góc trên bên phải.
  2. Chọn Help > About Google Chrome.
  3. Chrome sẽ kiểm tra và tải bản cập nhật nếu có. Sau khi tải xong, nhấp vào Relaunch để khởi động lại trình duyệt.

Thông Tin Lỗ Hổng Bổ Sung

Trong cùng bản cập nhật này, Google cũng đã vá một lỗ hổng khác có mức độ nghiêm trọng trung bình:

  • CVE-2025-5068: Lỗ hổng use-after-free trong engine渲染 Blink mã nguồn mở.

Kết Luận

Với việc lỗ hổng CVE-2025-5419 đang bị khai thác tích cực, việc cập nhật Chrome lên phiên bản mới nhất là ưu tiên hàng đầu để bảo vệ hệ thống khỏi các cuộc tấn công tiềm tàng. Quản trị viên hệ thống và chuyên viên bảo mật cũng nên kiểm tra nhật ký truy cập để phát hiện các dấu hiệu bất thường liên quan đến lỗ hổng này.