Mới đây, Google đã bất ngờ phát hành bản cập nhật khẩn cấp cho trình duyệt Chrome. Bản cập nhật này liên quan đến một lỗ hổng nghiêm trọng vừa được phát hiện.
Lỗ hổng này có mã định danh CVE-2025-5419, thuộc nhóm đọc và ghi bộ nhớ ngoài giới hạn (out-of-bounds read/write) trong công cụ xử lý JavaScript V8, một thành phần quan trọng của trình duyệt.
Điều đáng lo ngại là Google xác nhận lỗ hổng này đang bị khai thác trong thực tế, nghĩa là các cuộc tấn công mạng đã và đang diễn ra, không còn nằm ở mức tiềm năng. "Chúng tôi đã biết có khai thác ngoài tự nhiên đối với CVE-2025-5419", Google cho biết trong thông báo phát hành. Để giảm thiểu rủi ro trong khi người dùng chưa kịp cập nhật, Google đã âm thầm triển khai một thay đổi cấu hình từ ngày 28-5-2025 trên tất cả nền tảng.
Tuy nhiên, cấu hình tạm thời không thể thay thế cho bản vá chính thức. Vì lý do bảo mật, Google sẽ tiếp tục hạn chế thông tin chi tiết kỹ thuật về lỗ hổng cho đến khi phần lớn người dùng cập nhật thành công, hoặc đến khi các thư viện bên thứ ba bị ảnh hưởng được sửa.
CVE-2025-5419 hiện chỉ được phân loại là lỗi nghiêm trọng cao, nhưng mức độ nguy hiểm thực tế có thể vượt mức này do đang bị khai thác trực tiếp.
Theo cảnh báo từ Viện Tiêu chuẩn và Công nghệ Hoa Kỳ (NIST), lỗ hổng cho phép tin tặc từ xa thực thi mã độc thông qua một trang HTML được tạo thủ công, một phương thức tấn công phổ biến và rất khó phát hiện.
Không chỉ Google, các trình duyệt khác sử dụng mã nguồn mở Chromium như Microsoft Edge, Opera hay Brave cũng bị ảnh hưởng.
Chính phủ Mỹ ra lệnh cập nhật bắt buộc
Tầm ảnh hưởng của lỗ hổng này lớn đến mức chính phủ Mỹ đã yêu cầu toàn bộ nhân viên liên bang cập nhật trình duyệt Chrome, hoặc dừng sử dụng trình duyệt này cho đến khi cập nhật hoàn tất. Đây là động thái thường thấy trong những trường hợp rủi ro an ninh mạng ở mức quốc gia.
Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) dự kiến cũng sẽ đưa lỗ hổng này vào danh sách yêu cầu cập nhật bắt buộc trong vòng 21 ngày tới.
Bản cập nhật khẩn cấp lần này còn bao gồm một bản vá thứ hai cho lỗi CVE-2025-5068 liên quan đến Blink, công cụ hiển thị nội dung của Chrome. Lỗi này được một chuyên gia bảo mật độc lập phát hiện và báo cáo cho Google.
Người dùng cần làm gì?
Bản cập nhật bảo mật mới hiện đã được phát hành cho Windows, macOS và Linux. Người dùng sẽ thấy biểu tượng cảnh báo hoặc nút “Cập nhật” trên góc phải trình duyệt khi phiên bản mới đã sẵn sàng.
Ngoài ra, bạn cũng có thể cập nhật thủ công bằng cách vào Settings - About Chrome, chờ trình duyệt kiểm tra và tự động tải xuống bản vá. Sau đó nhấn Relaunch để khởi động lại Chrome và áp dụng bản cập nhật.
Theo: Tiểu Minh (Kỷ Nguyên Số)
https://plo.vn/ky-nguyen-so/google-phat-hanh-ban-cap-nhat-khan-cap-cho-3-ti-nguoi-dung-chrome-post853177.html
