Google vừa vá một lỗ hổng bảo mật nghiêm trọng khác trên Chrome – hãy cập nhật ngay kẻo gặp rủi ro.

Google vừa vá bốn lỗ hổng trên trình duyệt Chrome, bao gồm một zero-day đang bị khai thác tích cực (CVE-2025-10585)

Lỗ hổng zero-day là một lỗi type confusion trong V8, có thể cho phép thực thi mã tùy ý.

Do Chrome là trình duyệt phổ biến, nó trở thành mục tiêu hàng đầu cho tin tặc khai thác các lỗ hổng bảo mật.

Theo thông báo bảo mật từ Google, hãng đã khắc phục:

• Heap buffer overflow trong ANGLE (CVE-2025-10502)

• User-after-free bug trong WebRTC (CVE-2025-10501)

• Use-after-free trong Dawn (CVE-2025-10500)

• Và type confusion trong V8 (CVE-2025-10585), lỗ hổng zero-day đang bị khai thác

Lỗ hổng type confusion trong V8 xảy ra khi engine JavaScript hiểu nhầm kiểu dữ liệu của một biến hoặc đối tượng, dẫn đến các vấn đề nghiêm trọng như hư hỏng bộ nhớ heap và thực thi mã tùy ý.

Lạm dụng zero-day

Đây là lỗ hổng zero-day thứ sáu mà Google vá trên Chrome chỉ trong năm 2025.

Trong trường hợp này, Google cho biết họ không muốn công bố quá nhiều chi tiết trước khi tất cả người dùng cập nhật, nhằm tránh nguy cơ bị khai thác thêm.

Thông báo bảo mật nêu rõ:

“Truy cập chi tiết về lỗi và các liên kết có thể bị hạn chế cho đến khi phần lớn người dùng đã cập nhật bản vá. Chúng tôi cũng sẽ duy trì hạn chế nếu lỗi tồn tại trong thư viện bên thứ ba mà các dự án khác phụ thuộc nhưng chưa khắc phục.”

Lỗ hổng này hiện được theo dõi với mã CVE-2025-10585 và chưa có điểm đánh giá mức độ nghiêm trọng chính thức, chỉ được mô tả là lỗi mức cao (high-severity).

Google đã vá lỗi này trên các phiên bản 140.0.7339.185/140.0.7339.186 cho Windows và Mac, và 140.0.7339.185 cho Linux, dự kiến sẽ được triển khai trong vài ngày tới.

Chrome là trình duyệt phổ biến nhất thế giới, chiếm gần 70% thị phần, khiến nó trở thành mục tiêu hấp dẫn cho tội phạm mạng.

Những kẻ tấn công có thể lợi dụng các lỗ hổng trình duyệt để truy cập trái phép dữ liệu nhạy cảm, xâm phạm tài khoản người dùng, thậm chí chiếm quyền điều khiển toàn bộ hệ thống. Các lỗ hổng này thường cho phép kẻ xấu vượt qua cơ chế bảo mật như sandbox hay xác thực, từ đó đánh cắp thông tin đăng nhập, token phiên, hoặc dữ liệu cá nhân lưu trữ trên trình duyệt.

Khuyến cáo: người dùng Chrome nên cập nhật trình duyệt ngay để bảo vệ khỏi rủi ro bị khai thác.