Mới đây, người dùng Google Chrome trên toàn thế giới đã một phen hoang mang khi phát hiện trình duyệt này tồn tại lỗ hổng bảo mật nghiêm trọng, đẩy hàng tỷ người vào nguy cơ rò rỉ dữ liệu nhạy cảm.

Lỗ hổng, với mã định danh CVE-2025-5419, xuất phát từ lỗi out-of-bounds read/write (đọc và ghi bộ nhớ vượt giới hạn) trong V8 – công cụ xử lý JavaScript cốt lõi của Chrome. Đáng chú ý, đây là một lỗ hổng zero-day, nghĩa là chưa có bản vá chính thức tại thời điểm bị phát hiện, khiến nó trở thành tâm điểm chú ý của cộng đồng an ninh mạng toàn cầu.

Các chuyên gia từ công ty an ninh mạng Wazuh cảnh báo, điểm nguy hiểm của lỗ hổng zero-day nằm ở khả năng rò rỉ dữ liệu quan trọng như mã xác thực OAuth và định danh phiên đăng nhập (session identifier) mà không cần bất kỳ tương tác nào từ phía người dùng.

Điều đáng lo ngại hơn cả khi Google lên tiếng xác nhận lỗ hổng này đang bị khai thác thực tế, nghĩa là các cuộc tấn công mạng đã và đang diễn ra, không còn dừng ở mức cảnh báo tiềm ẩn. Song, để giảm thiểu rủi ro trong thời gian người dùng chưa kịp cập nhật bản vá, Google đã chủ động triển khai một thay đổi cấu hình tạm thời trên tất cả nền tảng kể từ ngày 28/05/2025.

Tuy nhiên, biện pháp này chỉ mang tính phòng ngừa ngắn hạn, không thể thay thế cho bản vá chính thức. Vì lý do an ninh, Google sẽ tiếp tục giữ kín các thông tin kỹ thuật chi tiết cho đến khi phần lớn người dùng đã cập nhật, hoặc khi các thư viện mã nguồn mở liên quan được sửa lỗi hoàn toàn.

Theo cảnh báo từ Viện Tiêu chuẩn và Công nghệ Hoa Kỳ (NIST), lỗ hổng có thể bị khai thác từ xa thông qua một trang HTML được thiết kế độc hại, cho phép tin tặc thực thi mã nguy hiểm trên thiết bị của nạn nhân - một kỹ thuật tấn công phổ biến nhưng vô cùng khó phát hiện.

Đáng chú ý, không chỉ Chrome mà các trình duyệt sử dụng mã nguồn Chromium như Microsoft Edge, Opera và Brave cũng đang chịu ảnh hưởng từ lỗ hổng này.

Đặc biệt, tầm ảnh hưởng của lỗ hổng này lớn đến mức chính phủ Mỹ đã yêu cầu toàn bộ nhân viên liên bang cập nhật trình duyệt Chrome, hoặc dừng sử dụng trình duyệt này cho đến khi cập nhật hoàn tất. Đây là động thái thường thấy trong những trường hợp rủi ro an ninh mạng ở mức quốc gia.

Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) dự kiến cũng sẽ đưa lỗ hổng này vào danh sách yêu cầu cập nhật bắt buộc trong vòng 21 ngày tới.

Bản cập nhật khẩn cấp lần này còn bao gồm một bản vá thứ hai cho lỗi CVE-2025-5068 liên quan đến Blink, công cụ hiển thị nội dung của Chrome. Lỗi này được một chuyên gia bảo mật độc lập phát hiện và báo cáo cho Google.

Người dùng Chrome cần cập nhật ngay để giảm thiểu nguy cơ bị tấn công

Google hiện đã phát hành bản cập nhật bảo mật mới dành cho các hệ điều hành Windows, macOS và Linux. Khi phiên bản mới sẵn sàng, người dùng sẽ thấy biểu tượng cảnh báo hoặc nút “Cập nhật” xuất hiện ở góc trên bên phải trình duyệt.

Để cập nhật thủ công, bạn có thể truy cập Settings > About Chrome. Tại đây, trình duyệt sẽ tự động kiểm tra và tải về bản vá. Sau khi hoàn tất, chỉ cần nhấn Relaunch để khởi động lại Chrome và áp dụng bản cập nhật.

Tuy nhiên, với người dùng trình duyệt Chromium trên Debian 11, tất cả phiên bản đến 120.0.6099.224 hiện vẫn chưa được vá lỗi và tiếp tục tồn tại lỗ hổng bảo mật. Các chuyên gia khuyến cáo nên tạm thời gỡ cài đặt trình duyệt này cho đến khi có bản cập nhật chính thức an toàn được phát hành.

Phiên bản cập nhất mới nhất của trình duyệt Chrome 137.0.7151.69 

Dù Google đã có phản ứng nhanh chóng, các chuyên gia an ninh mạng cảnh báo rằng chỉ cập nhật trình duyệt thôi là chưa đủ để đối phó với các cuộc tấn công zero-day ngày càng tinh vi.

Cả người dùng cá nhân lẫn doanh nghiệp được khuyến nghị nên:

• Triển khai giải pháp bảo vệ thiết bị đầu cuối (endpoint protection)

• Sử dụng phần mềm chống mã độc và diệt virus đáng tin cậy

• Xây dựng hệ thống phòng thủ đa tầng, nhằm tăng khả năng phát hiện, ngăn chặn khai thác theo thời gian thực.