Hotline: 024 38357975
Liên hệ tòa soạn
Giới thiệu
Đăng nhập

Google vá lỗ hổng zero-day mới của Chrome bị khai thác trong các cuộc tấn công

14:40 | 05/06/2025
Hồng Đạt

Vừa qua, Google đã phát hành bản cập nhật bảo mật khẩn cấp để khắc phục lỗ hổng bảo mật zero-day thứ ba của hãng, trước đó bị khai thác trong các cuộc tấn công kể từ đầu năm.

Trong một khuyến cáo bảo mật, Google cho biết lỗ hổng CVE-2025-5419 (điểm CVSS: 8.8) đã tồn tại ngoài thực tế. Lỗ hổng nghiêm trọng này tồn tại bởi điểm yếu đọc và ghi ngoài giới hạn (out-of-bounds) trong công cụ JavaScript V8 và WebAssembly, được hai nhà nghiên cứu Clement Lecigne và Benoît Sevens thuộc Nhóm phân tích mối đe dọa của Google báo cáo.

Quyền đọc và ghi ngoài giới hạn trong V8 của Google Chrome trước phiên bản 137.0.7151.68 cho phép kẻ tấn công từ xa có khả năng khai thác lỗi heap, thông qua trang HTML được tạo thủ công.

Gã khổng lồ công nghệ đã vá lỗ hổng zero-day bằng cách phát hành phiên bản 137.0.7151.68/.69 cho Windows/Mac và 137.0.7151.68 cho Linux, các phiên bản sẽ được triển khai tới người dùng trên kênh Stable Desktop trong những tuần tới. Người dùng được khuyến nghị nâng cấp và cập nhật các bản vá càng sớm càng tốt để bảo vệ khỏi các mối đe dọa tiềm ẩn. Người dùng các trình duyệt dựa trên Chromium như Microsoft Edge, Brave, Opera và Vivaldi cũng được khuyến cáo áp dụng các bản sửa lỗi khi có sẵn.

Trong khi Chrome sẽ tự động cập nhật khi có bản vá bảo mật mới, người dùng có thể đẩy nhanh quá trình này bằng cách vào menu Chrome > Help  > About Google Chrome, để quá trình cập nhật hoàn tất và nhấp vào nút “Relaunch” để cài đặt ngay lập tức.

Mặc dù Google đã xác nhận rằng CVE-2025-5419 đang bị khai thác ngoài thực tế, công ty sẽ không chia sẻ thêm thông tin về các cuộc tấn công này cho đến khi nhiều người dùng vá trình duyệt của họ.

Đây là lỗ hổng bảo mật zero-day thứ ba của Chrome do Google phát hiện kể từ đầu năm, hai lỗ hổng khác đã được vá vào tháng 3 và tháng 5.

Lỗ hổng đầu tiên là lỗ hổng thoát khỏi sandbox có mức độ nghiêm trọng cao (CVE-2025-2783) do hai nhà nghiên cứu Boris Larin và Igor Kuznetsov đến từ hãng bảo mật Kaspersky phát hiện, được sử dụng để triển khai phần mềm độc hại trong các cuộc tấn công gián điệp nhắm vào các tổ chức chính phủ và cơ quan truyền thông của Nga. Khi nạn nhân nhấp vào liên kết trong email lừa đảo, họ sẽ bị chuyển hướng đến một trang web độc hại, nơi phần mềm gián điệp được triển khai.

Ngay sau đó, Google đã phát hành bản cập nhật bảo mật khẩn cấp khác vào tháng 5 để vá lỗ hổng zero-day trên Chrome, lỗ hổng này có thể cho phép kẻ tấn công chiếm đoạt tài khoản sau khi khai thác thành công.

Năm ngoái, Google cũng đã vá 10 lỗ hổng zero-day được phát hiện trong cuộc thi Pwn2Own 2024 và bị khai thác trong các cuộc tấn công khác.

Twitter Zalo Facebook YouTube Copy Link QR Code
CẬP NHẬT BẢO MẬT VÁ LỖ HỔNG OUT-OF-BOUNDS WRITE CVE-2025-5419 GOOGLE LỖ HỔNG ZERO-DAY
Để lại bình luận
TIN ĐỌC NHIỀU
Tin cùng chuyên mục
    ẤN PHẨM IN
    Tạp chí in Chuyên san
    Trang liên kết