Google vừa phát hành bản cập nhật khẩn cấp cho trình duyệt Chrome nhằm khắc phục một lỗ hổng bảo mật nghiêm trọng đang bị khai thác ngoài thực tế. Lỗ hổng này, được định danh là CVE-2025-5419 nằm trong Javascript Engine V8 Chrome, cho phép kẻ tấn công thực thi mã độc từ xa bằng cách truy cập và thao tác ngoài vùng nhớ cho phép.
Đây là một lỗ hổng 0-day nguy hiểm, được các chuyên gia của nhóm Threat Analysis Group tại Google phát hiện vào cuối tháng 5. Ngay sau khi phát hiện, Google đã triển khai các biện pháp giảm thiểu tạm thời trên toàn bộ hệ thống và chính thức phát hành bản vá trong phiên bản Chrome 137.0.7151.68/.69 cho Windows và Mac, cũng như 137.0.7151.68 cho Linux.
Lỗ hổng này cho phép kẻ tấn công vượt qua cơ chế bảo vệ bộ nhớ, cấy mã độc vào hệ thống người dùng chỉ qua một trang web, có thể dẫn đến chiếm quyền điều khiển hệ thống. Đây cũng là lý do khiến Google lên tiếng cảnh báo người dùng cần cập nhật trình duyệt ngay lập tức, bởi cuộc tấn công đang diễn ra chủ động ngoài môi trường và có thể nhắm vào bất kỳ ai chưa nâng cấp.
Bản cập nhật lần này cũng xử lý thêm một lỗ hổng khác liên quan đến lỗi use-after-free trong engine Blink, dù mức độ nghiêm trọng thấp hơn, nhưng vẫn có khả năng gây ra lỗi bộ nhớ và dẫn đến thực thi mã độc.
Google cho biết họ vẫn giữ kín thông tin kỹ thuật chi tiết cho đến khi phần lớn người dùng đã cập nhật, để hạn chế nguy cơ các nhóm tấn công phân tích ngược bản vá và phát triển các phương thức tấn công mới. Người dùng được khuyến nghị cập nhật trình duyệt Chrome ngay lập tức lên phiên bản 137.0.7151.68 hoặc cao hơn để đảm bảo an toàn cho hệ thống.
