Lỗ hổng Zero-day trên Chrome đang bị khai thác trên thực tế

Nam Anh Mai D.Nam Anh Mai D.
3 min read

Vừa qua, Google đã tung ra bản vá khẩn cấp cho một lỗ hổng Zero-day mới xuất hiện, đang bị tin tặc khai thác rộng rãi trên thực tế.

Thông tin chi tiết

  • Định danh lỗ hổng: CVE-2025-6554

  • Điểm CVSS(3.1): 8.1

  • Mức độ nghiêm trọng: HIGH - Cao

  • Mô tả: Lỗi type confusion trong V8 engine của Chrome cho phép kẻ tấn công từ xa có thể khai thác và thực thi các đoạn mã tuỳ ý thông qua một file HTML độc hại.

  • Phiên bản bị ảnh hưởng: Toàn bộ các phiên bản của Google Chrome trước phiên bản 138.0.7204.96.

Như FPT Threat Intelligence đã đưa tin trong một bài cảnh báo bảo mật từ trước, JavaScript Engine V8 đóng vai trò là bộ não xử lý các đoạn mã JavaScript trong Google Chrome hay các trình duyệt dùng nhân Chromium như Brave, Chromium Egde,... Khi người dùng mở một trang web bất kỳ, phần mã JavaScript của trang web đó được V8 xử lý để làm cho trang web cùng các thành phần của nó hoạt động.

Việc lỗ hổng CVE-2025-6554 tồn tại trong V8 engine do lỗi type confusion (nhầm lẫn kiểu dữ liệu) cho phép kẻ tấn công từ xa thông qua một trang HTML độc hại có thể đọc/ghi tùy ý bộ nhớ trên hệ thống của nạn nhân. Do V8 xử lý trực tiếp các đoạn mã từ trang web mà người dùng truy cập nên tin tặc có thể lợi dụng quy trình này để tiến hành khai thác lỗ hổng, từ đó xâm nhập vào hệ thống của nạn nhân.

CVE-2025-6554 cũng cho phép những kẻ tấn công từ xa khả năng thực thi các đoạn mã tuỳ ý, tiêm các đoạn mã độc hại vào tiến trình hệ thống, hoặc khai thác sâu hơn khi kết hợp khai thác các lỗ hổng bảo mật nghiêm trọng khác đã biết trước đó như CVE-2025-5419, đồng thời việc lỗ hổng đã và đang bị khai thác trên thực tiễn cũng góp phần làm gia tăng mức độ nghiêm trọng và tình trạng đáng báo động mà lỗ hổng này đang gây ra.

Khuyến nghị & Khắc phục

Trong thông báo của mình, Google khuyến nghị người dùng thực hiện:

  • Cập nhật trình duyệt Chrome lên phiên bản mới nhất: cập nhật lên phiên bản 138.0.7204.96/.97 đối với phiên bản Google Chrome stable dành cho hệ điều hành Windows, 138.0.7204.92/.93 cho macOS hoặc lên phiên bản 138.0.7204.92 đối với phiên bản dành cho Linux.

  • Không truy cập tới các trang web lạ: Ngoài việc cập nhật lên phiên bản mới nhất của phần mềm, người dùng không nên truy cập tới các đường link lạ trên mạng. Không tải xuống hoặc cài đặt các tệp tin, phần mềm không rõ nguồn gốc.

  • Sử dụng các giải pháp bảo mật: Cài đặt các phần mềm diệt virus, sao lưu dữ liệu định kỳ hay sử dụng các giải pháp bảo mật nâng cao như giám sát 24/7 nhằm đảm bảo tối đa an toàn cho hệ thống.

Tham khảo

  1. NVD - CVE-2025-6554

  2. Chrome Releases: Stable Channel Update for Desktop

  3. Lỗ hổng Zero-day nghiêm trọng mới trong trình duyệt Chrome

0
Subscribe to my newsletter

Read articles from Nam Anh Mai D. directly inside your inbox. Subscribe to the newsletter, and don't miss out.

threat intelligenceChromezero_day_vulnerability

Written by

Nam Anh Mai D.
Nam Anh Mai D.