Lỗ hổng Zero-day nghiêm trọng mới trong trình duyệt Chrome

Nam Anh Mai D.Nam Anh Mai D.
3 min read

Google mới đây đã phát hành bản vá cho các lỗ hổng bảo mật đang tồn tại trong sản phẩm của hãng. Đáng chú ý, trong lần này, Google đã tiến hành vá khẩn cấp 01 lỗ hổng zero-day đang bị tin tặc khai thác trên thực tiễn.

Thông tin chi tiết

  • Định danh lỗ hổng: CVE-2025-5419

  • Điểm CVSS (3.1): 8.8

  • Mức độ nghiêm trọng: High

  • Mô tả: Lỗ hổng Out-Of-Bound read and write trong Javascript Engine V8 của Google Chrome, cho phép tin tặc từ xa thông qua một trang HTML độc hại có thể nhắm mục tiêu tới bộ nhớ heap, gây rối loạn (heap corruption), tạo cơ hội cho tin tặc tiếp cận các dữ liệu nhạy cảm hoặc khả năng tiêm mã độc vào vùng nhớ tiến trình của hệ thống.

  • Phiên bản bị ảnh hưởng: Google Chrome stable trước các phiên bản 137.0.7151.68/.69 dành cho hệ điều hành Windows, macOS và trước phiên bản 137.0.7151.68 dành cho hệ điều hành Linux.

JavaScript Engine V8 đóng vai trò là bộ não xử lý các đoạn mã JavaScript trong Google Chrome hay các trình duyệt dùng nhân Chromium như Brave, Chromium Egde,... Khi người dùng mở một trang web bất kỳ, phần mã JavaScript của trang web đó được V8 xử lý để làm cho trang web cùng các thành phần của nó hoạt động.

Việc lỗ hổng Out-of-bound read and write (đọc/ghi ngoài giới hạn cấp phép) tồn tại trong V8 cho phép kẻ tấn công có thể lợi dụng để đọc thông tin nhạy cảm (lợi dụng out-of-bound read) hoặc ghi mã độc vào vùng nhớ của tiến trình (lợi dụng out-of-bound write), sau đó ép trình duyệt thực thi mã độc và chiếm quyền điều khiển Chrome hoặc chiếm quyền điều khiển máy tính.

Do V8 xử lý trực tiếp các đoạn mã từ trang web mà người dùng truy cập nên tin tặc có thể khởi tạo một trang HTML độc hại, sau đó dẫn dụ người dùng truy cập tới để tiến hành khai thác lỗ hổng. Tin tặc có thể dễ dành chiếm quyền trên máy của nạn nhân chỉ sau một cú nhấp chuột truy cập tới trang web độc hại. Điều này khiến CVE-2025-5419 trở thành một lỗ hổng cực kỳ nguy hiểm, và việc nó đang bị khai thác trên thực tế trước khi Google tung ra bản vá càng làm gia tăng mức độ nghiêm trọng và tình trạng báo động của lỗ hổng này.

Khuyến nghị & Khắc phục

Trong thông báo của mình, Google khuyến nghị người dùng thực hiện:

  • Cập nhật trình duyệt Chrome lên phiên bản mới nhất: cập nhật lên phiên bản 137.0.7151.68/.69 đối với phiên bản Google Chrome stable dành cho hệ điều hành Windows, macOS hoặc lên phiên bản 137.0.7151.68 đối với phiên bản dành cho Linux.

  • Không truy cập tới các trang web lạ: Ngoài việc cập nhật lên phiên bản mới nhất của phần mềm, người dùng không nên truy cập tới các đường link lạ trên mạng. Không tải xuống hoặc cài đặt các tệp tin, phần mềm không rõ nguồn gốc.

  • Sử dụng các giải pháp bảo mật: Cài đặt các phần mềm diệt virus, sao lưu dữ liệu định kỳ hay sử dụng các giải pháp bảo mật nâng cao như giám sát 24/7 nhằm đảm bảo tối đa an toàn cho hệ thống.

Tham khảo

  1. NVD - CVE-2025-5419

  2. Chrome Releases: Stable Channel Update for Desktop

0
Subscribe to my newsletter

Read articles from Nam Anh Mai D. directly inside your inbox. Subscribe to the newsletter, and don't miss out.

threat intelligenceChromevulnerability

Written by

Nam Anh Mai D.
Nam Anh Mai D.