Lỗ hổng zero-day nguy hiểm trên Google Chrome, người dùng chú ý

Google vừa phát hành bản cập nhật khẩn cấp cho trình duyệt Chrome nhằm khắc phục hai lỗ hổng bảo mật nghiêm trọng, trong đó có một lỗ hổng zero-day đang bị tin tặc khai thác tích cực. 

Các chuyên gia an ninh mạng cảnh báo rằng hàng tỉ người dùng trên toàn cầu có thể đang bị đặt vào tình thế rủi ro bị rò rỉ dữ liệu nhạy cảm, bao gồm mã phiên truy cập (session tokens), cookie và thông tin đăng nhập.

Hai lỗ hổng nghiêm trọng: Khai thác thực tế và rò rỉ dữ liệu

Lỗ hổng đầu tiên mang mã định danh CVE-2025-5419, xuất hiện trong V8 Engine – bộ xử lý JavaScript và WebAssembly của Chrome. 

Theo thông báo chính thức từ Google, lỗ hổng này cho phép kẻ tấn công thực hiện các thao tác đọc và ghi dữ liệu vượt ngoài vùng nhớ được cấp phát, mở ra khả năng thực thi mã độc từ xa. 

Trong thực tế, chỉ cần người dùng truy cập một trang web chứa mã khai thác, tin tặc đã có thể chiếm quyền điều khiển trình duyệt hoặc thiết bị của họ. Google xác nhận lỗ hổng này đã bị khai thác trước khi được công bố rộng rãi, khiến nó trở thành một trong những mối đe dọa an ninh mạng đáng lo ngại nhất trong nửa đầu năm nay.

Lỗ hổng thứ hai, CVE-2025-4664, liên quan đến cách trình duyệt xử lý tiêu đề HTTP và referrer-policy khi tải các tài nguyên phụ. Theo các nhà nghiên cứu, tin tặc có thể lợi dụng điểm yếu này để thu thập thông tin nhạy cảm thông qua URL, bao gồm token truy cập OAuth, ID phiên và các tham số chứa dữ liệu riêng tư. 

Nguy hiểm hơn, cơ chế tấn công này có thể xảy ra một cách âm thầm, không yêu cầu bất kỳ hành động nào từ phía người dùng ngoài việc truy cập vào một trang web bị nhiễm mã độc.

Cảnh báo toàn cầu và phản ứng từ Google

Ngay sau khi các lỗ hổng được phát hiện, Google đã phát hành các bản cập nhật bảo mật tương ứng: phiên bản 137.0.7151.68/.69 dành cho Windows, Linux và macOS để vá lỗi CVE-2025-5419, và phiên bản 136.0.7103.113/.114 để khắc phục CVE-2025-4664. 

Các cơ quan an ninh mạng như CISA của Mỹ và CERT-In của Ấn Độ đã đồng loạt phát cảnh báo khẩn cấp, yêu cầu người dùng và các tổ chức cập nhật trình duyệt Chrome ngay lập tức để tránh trở thành nạn nhân của các cuộc tấn công đang diễn ra.

Rủi ro với người dùng cá nhân và doanh nghiệp

Các chuyên gia bảo mật nhận định cả hai lỗ hổng đều có thể bị lợi dụng để đánh cắp thông tin cá nhân, chiếm quyền điều khiển trình duyệt, thậm chí mở đường cho các cuộc tấn công quy mô lớn hơn như cài mã độc, gián điệp hoặc mã hóa dữ liệu đòi tiền chuộc. 

Trong bối cảnh thời gian khai thác lỗ hổng ngày càng rút ngắn, từ vài ngày xuống chỉ còn vài giờ sau khi thông tin được công bố, việc cập nhật phần mềm kịp thời là điều sống còn. 

Thậm chí, với khoảng thời gian khai thác gần như ngay sau khi lỗ hổng bị phát hiện, kẻ tấn công có thể tung mã độc chỉ trong vòng vài giờ, tạo áp lực rất lớn cho các hệ thống chưa kịp cập nhật.

Cách phòng tránh và bảo vệ dữ liệu

Với người dùng cá nhân, lời khuyên được đưa ra là cần truy cập mục “Giới thiệu về Google Chrome” trong phần trợ giúp để kiểm tra phiên bản và cập nhật trình duyệt ngay lập tức (Vào Menu > Help > About Google Chrome). Sau khi cập nhật, cần khởi động lại trình duyệt để đảm bảo bản vá được áp dụng. 

Đồng thời, người dùng nên tránh nhấp vào các liên kết đáng ngờ, đặc biệt là từ email, mạng xã hội hoặc các trang web không đáng tin cậy. 

Sử dụng phần mềm bảo mật, bộ lọc URL, hoặc các tiện ích hỗ trợ duyệt web an toàn cũng được khuyến nghị nhằm giảm thiểu rủi ro.

Đối với các doanh nghiệp và tổ chức cần triển khai tự động cập nhật Chrome trên toàn bộ thiết bị trong mạng, giám sát hoạt động truy cập mạng để phát hiện dấu hiệu bất thường, và cảnh báo nội bộ cho nhân viên về nguy cơ rò rỉ dữ liệu. 

Các công cụ giám sát bảo mật tự động như Wazuh hoặc các giải pháp sandbox cũng có thể được sử dụng để phát hiện các hành vi lợi dụng lỗ hổng đang được khai thác.