-
09/04/2020
-
122
-
1.268 bài viết
Google phát hành bản vá khẩn cấp cho hai lỗ hổng nguy hiểm trong Chrome V8
Google vừa phát hành bản cập nhật bảo mật khẩn cấp cho trình duyệt Chrome, nhằm xử lý hai lỗ hổng Type Confusion nghiêm trọng trong V8 JavaScript engine. Một trong hai lỗ hổng này là zero-day và đang bị khai thác tích cực, tạo ra nguy cơ thực thi mã tùy ý cho người dùng chỉ khi truy cập vào các trang web độc hại. Bản vá được đánh giá quan trọng, đặc biệt với môi trường doanh nghiệp và các hệ thống quan trọng, nhằm giảm rủi ro trước các tấn công drive-by tinh vi.
Theo Google, lỗ hổng nghiêm trọng nhất là CVE-2025-13223, được nhóm Threat Analysis Group (TAG) phát hiện khi theo dõi các chiến dịch tấn công có chủ đích. Đây là lỗi Type Confusion xảy ra khi V8 diễn giải sai kiểu dữ liệu của một đối tượng, dẫn tới hiểu sai bộ nhớ và gây hỏng heap. Trong bối cảnh trình duyệt, trạng thái này có thể bị lợi dụng để chiếm quyền kiểm soát luồng thực thi và đạt được mã tùy ý.
Đáng lo ngại là CVE-2025-13223 đã bị khai thác thực tế. Chỉ cần người dùng truy cập vào một trang web độc hại được chế tạo sẵn, kẻ tấn công đã có thể kích hoạt chuỗi khai thác. Đây là dạng tấn công nguy hiểm vì không yêu cầu nạn nhân thực hiện thêm bất cứ thao tác phức tạp nào
Lỗ hổng thứ hai, CVE-2025-13224, cũng thuộc nhóm Type Confusion trong V8 và được đánh giá ở mức nghiêm trọng. Hiện chưa ghi nhận trường hợp khai thác thực tế, nhưng với đặc điểm kỹ thuật giống các lỗi từng dẫn tới thực thi mã, Google khuyến cáo người dùng vẫn cần cập nhật ngay để loại bỏ nguy cơ tiềm ẩn.
Google hiện cũng tạm thời giữ kín thông tin kỹ thuật về hai lỗ hổng. Đây là bước bảo vệ quen thuộc mỗi khi xuất hiện zero-day, nhằm tránh việc kẻ tấn công phân tích bản vá để tạo thêm công cụ khai thác. Khi phần lớn người dùng đã cập nhật lên phiên bản an toàn, Google mới công bố chi tiết đầy đủ.
Google cho biết bản vá đang được triển khai theo từng đợt, nhưng khuyến cáo người dùng cập nhật ngay thay vì chờ hệ thống tự động. Phiên bản ổn định mới nhất bao gồm:
Sự xuất hiện liên tiếp của các lỗ hổng Type Confusion trong V8 cho thấy trình duyệt vẫn là mục tiêu ưu tiên của các nhóm tấn công tinh vi. Những lỗi này có thể bị lợi dụng để xâm nhập hệ thống chỉ với một cú nhấp chuột, lây lan nhanh và khó phát hiện. Trong bối cảnh đó, cập nhật ngay là bước phòng vệ thiết thực và hiệu quả nhất, giúp ngăn chặn khai thác zero-day trước khi hệ thống bị tấn công.
Theo Google, lỗ hổng nghiêm trọng nhất là CVE-2025-13223, được nhóm Threat Analysis Group (TAG) phát hiện khi theo dõi các chiến dịch tấn công có chủ đích. Đây là lỗi Type Confusion xảy ra khi V8 diễn giải sai kiểu dữ liệu của một đối tượng, dẫn tới hiểu sai bộ nhớ và gây hỏng heap. Trong bối cảnh trình duyệt, trạng thái này có thể bị lợi dụng để chiếm quyền kiểm soát luồng thực thi và đạt được mã tùy ý.
Đáng lo ngại là CVE-2025-13223 đã bị khai thác thực tế. Chỉ cần người dùng truy cập vào một trang web độc hại được chế tạo sẵn, kẻ tấn công đã có thể kích hoạt chuỗi khai thác. Đây là dạng tấn công nguy hiểm vì không yêu cầu nạn nhân thực hiện thêm bất cứ thao tác phức tạp nào
Lỗ hổng thứ hai, CVE-2025-13224, cũng thuộc nhóm Type Confusion trong V8 và được đánh giá ở mức nghiêm trọng. Hiện chưa ghi nhận trường hợp khai thác thực tế, nhưng với đặc điểm kỹ thuật giống các lỗi từng dẫn tới thực thi mã, Google khuyến cáo người dùng vẫn cần cập nhật ngay để loại bỏ nguy cơ tiềm ẩn.
Google hiện cũng tạm thời giữ kín thông tin kỹ thuật về hai lỗ hổng. Đây là bước bảo vệ quen thuộc mỗi khi xuất hiện zero-day, nhằm tránh việc kẻ tấn công phân tích bản vá để tạo thêm công cụ khai thác. Khi phần lớn người dùng đã cập nhật lên phiên bản an toàn, Google mới công bố chi tiết đầy đủ.
Google cho biết bản vá đang được triển khai theo từng đợt, nhưng khuyến cáo người dùng cập nhật ngay thay vì chờ hệ thống tự động. Phiên bản ổn định mới nhất bao gồm:
- Windows: 142.0.7444.175 và 142.0.7444.176
- Mac: 142.0.7444.176
- Linux: 142.0.7444.175
Sự xuất hiện liên tiếp của các lỗ hổng Type Confusion trong V8 cho thấy trình duyệt vẫn là mục tiêu ưu tiên của các nhóm tấn công tinh vi. Những lỗi này có thể bị lợi dụng để xâm nhập hệ thống chỉ với một cú nhấp chuột, lây lan nhanh và khó phát hiện. Trong bối cảnh đó, cập nhật ngay là bước phòng vệ thiết thực và hiệu quả nhất, giúp ngăn chặn khai thác zero-day trước khi hệ thống bị tấn công.
Theo Security Online
Chỉnh sửa lần cuối: