Một lỗ hổng zero-day khác của Chrome bị vá: Lỗ thứ 6 trong năm 2025

(Nguồn ảnh: Google)

Theo Google, một lỗ hổng zero-day mới trong trình duyệt Chrome đã bị khai thác “trong thực tế” và vừa được vá. Đây là lỗ hổng zero-day thứ sáu được phát hiện và xử lý trong năm 2025. 

Lỗ hổng này, được gắn mã CVE-2025-10585, liên quan đến type confusion trong engine JavaScript V8—một dạng lỗi khiến chương trình hiểu nhầm kiểu dữ liệu, từ đó gây ra các hành vi không mong muốn như ghi nhớ sai, crash hoặc thậm chí thực thi mã độc. 

Google cho biết lỗ này được nhóm Threat Analysis Group (TAG) phát hiện vào ngày 16 tháng 9, 2025. Chỉ hai ngày sau báo cáo, Google đã phát hành bản cập nhật khẩn cấp cho Chrome trên các hệ điều hành Windows, macOS và Linux. 

Các chi tiết bạn cần biết:

• Lỗ hổng là type confusion trong V8 JavaScript / WebAssembly engine. 

• Nó có exploit công khai (“public exploit”) và đã được Google xác nhận rằng lỗ này đang được khai thác bên ngoài – dù chưa rõ quy mô rộng hay nhỏ. 

• Bản Chrome version đã vá: 140.0.7339.185/.186 cho Windows & macOS, 140.0.7339.185 cho Linux.

   

Vì sao việc cập nhật là quan trọng:

• Khi lỗ này đã có exploit công khai, người dùng nếu không cập nhật có thể bị tấn công chỉ bằng cách truy cập trang web độc hại chứa mã khai thác.

• Các loại lỗ type confusion thường được dùng để vượt cơ chế bảo mật của trình duyệt như sandbox, từ đó thực thi các mã không mong muốn.

• Chrome thường cập nhật tự động, nhưng việc kiểm tra thủ công và restart trình duyệt sau cập nhật là cần thiết để đảm bảo patch được áp dụng.

   

Hướng dẫn cập nhật nhanh:

1. Mở Chrome → vào menu About Google Chrome (Giúp đỡ → Giới thiệu Google Chrome) để kiểm tra phiên bản hiện tại.

2. Nếu chưa được cập nhật lên phiên bản vá, cập nhật ngay phiên bản tương ứng.

3. Sau khi cập nhật, khởi động lại trình duyệt để patch được áp dụng.

4. Với những trình duyệt dựa trên Chromium khác (như Edge, Brave, Opera…), kiểm tra xem bản vá đã được áp dụng chưa từ nhà cung cấp phần mềm.