-
09/04/2020
-
104
-
905 bài viết
Chrome vá khẩn cấp lỗ hổng zero-day đang bị khai thác trong thực tế
Google vừa phát hành bản cập nhật bảo mật khẩn cấp cho trình duyệt Chrome nhằm khắc phục một lỗ hổng zero day nghiêm trọng có mã định danh CVE-2025-6554. Lỗ hổng này đang bị khai thác ngoài thực tế và ảnh hưởng trực tiếp đến công cụ V8 JavaScript engine, thành phần chịu trách nhiệm xử lý JavaScript và WebAssembly trong Chrome.
CVE-2025-6554 là một lỗi xử lý sai kiểu dữ liệu trong bộ nhớ (type confusion) với mức độ nghiêm trọng cao, cho phép kẻ tấn công thực thi mã tùy ý trong tiến trình trình duyệt mà không cần xác thực. Việc khai thác thành công có thể giúp mã độc chiếm quyền điều khiển Chrome, cho phép truy cập dữ liệu nhạy cảm và gây rủi ro nghiêm trọng đến an toàn thông tin của người dùng.
Theo thông báo từ Google, các bản vá đã được triển khai tương ứng với từng hệ điều hành như sau:
Lỗ hổng phát sinh do Chrome xử lý sai kiểu dữ liệu trong bộ nhớ, dẫn đến lỗi hỏng bộ nhớ và cho phép thực thi mã trái phép. Mã khai thác có thể được nhúng trong trang web độc hại hoặc ứng dụng web chứa đoạn mã khai thác JavaScript. Khi người dùng truy cập, mã độc có thể được thực thi ngay trong ngữ cảnh trình duyệt mà không cần bất kỳ bước xác thực nào.
Sau khi khai thác thành công, kẻ tấn công có thể thao túng không gian bộ nhớ của tiến trình Chrome, cho phép đọc ghi dữ liệu, điều khiển các tab đang mở và trích xuất thông tin nhạy cảm như cookie phiên, token xác thực, cùng các dữ liệu lưu trữ tạm thời của trình duyệt.
Lỗ hổng CVE-2025-6554 được phát hiện bởi chuyên gia Clément Lecigne thuộc nhóm phân tích mối đe dọa của Google vào ngày 25 tháng 6. Đây là lỗ hổng zero day thứ bảy được Google khắc phục trong năm 2025, cho thấy mức độ gia tăng và phức tạp của các chiến dịch tấn công nhắm vào trình duyệt.
Người dùng được khuyến nghị kiểm tra và cập nhật trình duyệt ngay bằng cách truy cập:
Cài đặt > Giới thiệu về Chrome (Settings > About Chrome). Trình duyệt sẽ tự động tải và cài đặt bản cập nhật mới nhất, yêu cầu khởi động lại để hoàn tất.
Đối với môi trường doanh nghiệp, quản trị viên có thể triển khai cập nhật thông qua GPO hoặc Chrome Enterprise Policies. Đồng thời, cần tăng cường giám sát nhật ký hệ thống để phát hiện hoạt động bất thường.
Trong bối cảnh mã khai thác đang lưu hành thực tế, chỉ một thao tác cập nhật đơn giản có thể trở thành tuyến phòng thủ quan trọng cuối cùng giúp bảo vệ người dùng và hệ thống khỏi nguy cơ bị tấn công.
CVE-2025-6554 là một lỗi xử lý sai kiểu dữ liệu trong bộ nhớ (type confusion) với mức độ nghiêm trọng cao, cho phép kẻ tấn công thực thi mã tùy ý trong tiến trình trình duyệt mà không cần xác thực. Việc khai thác thành công có thể giúp mã độc chiếm quyền điều khiển Chrome, cho phép truy cập dữ liệu nhạy cảm và gây rủi ro nghiêm trọng đến an toàn thông tin của người dùng.
Theo thông báo từ Google, các bản vá đã được triển khai tương ứng với từng hệ điều hành như sau:
- Windows: Chrome 138.0.7204.96/.97
- macOS: Chrome 138.0.7204.92/.93
- Linux: Chrome 138.0.7204.96
Lỗ hổng phát sinh do Chrome xử lý sai kiểu dữ liệu trong bộ nhớ, dẫn đến lỗi hỏng bộ nhớ và cho phép thực thi mã trái phép. Mã khai thác có thể được nhúng trong trang web độc hại hoặc ứng dụng web chứa đoạn mã khai thác JavaScript. Khi người dùng truy cập, mã độc có thể được thực thi ngay trong ngữ cảnh trình duyệt mà không cần bất kỳ bước xác thực nào.
Sau khi khai thác thành công, kẻ tấn công có thể thao túng không gian bộ nhớ của tiến trình Chrome, cho phép đọc ghi dữ liệu, điều khiển các tab đang mở và trích xuất thông tin nhạy cảm như cookie phiên, token xác thực, cùng các dữ liệu lưu trữ tạm thời của trình duyệt.
Lỗ hổng CVE-2025-6554 được phát hiện bởi chuyên gia Clément Lecigne thuộc nhóm phân tích mối đe dọa của Google vào ngày 25 tháng 6. Đây là lỗ hổng zero day thứ bảy được Google khắc phục trong năm 2025, cho thấy mức độ gia tăng và phức tạp của các chiến dịch tấn công nhắm vào trình duyệt.
Người dùng được khuyến nghị kiểm tra và cập nhật trình duyệt ngay bằng cách truy cập:
Cài đặt > Giới thiệu về Chrome (Settings > About Chrome). Trình duyệt sẽ tự động tải và cài đặt bản cập nhật mới nhất, yêu cầu khởi động lại để hoàn tất.
Đối với môi trường doanh nghiệp, quản trị viên có thể triển khai cập nhật thông qua GPO hoặc Chrome Enterprise Policies. Đồng thời, cần tăng cường giám sát nhật ký hệ thống để phát hiện hoạt động bất thường.
Trong bối cảnh mã khai thác đang lưu hành thực tế, chỉ một thao tác cập nhật đơn giản có thể trở thành tuyến phòng thủ quan trọng cuối cùng giúp bảo vệ người dùng và hệ thống khỏi nguy cơ bị tấn công.
Theo Cyber Press và Cyber Security News
Chỉnh sửa lần cuối: