Google vừa phát cảnh báo về một cuộc tấn công mạng đang diễn ra nhằm vào trình duyệt Chrome, đồng thời phát hành bản cập nhật khẩn cấp cho toàn bộ người dùng máy tính để bàn. Công ty xác nhận rằng lỗ hổng bảo mật CVE-2025-13223 “đang bị khai thác ngoài thực tế”.
Lỗ hổng - thuộc dạng “Type Confusion in V8” - được Nhóm Phân tích Mối đe dọa của Google phát hiện vào tuần trước và ngay lập tức được xử lý, cho thấy mức độ nghiêm trọng của vấn đề.
Mức độ rủi ro càng được nhấn mạnh khi Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) yêu cầu toàn bộ nhân viên liên bang phải cập nhật hoặc ngừng sử dụng Chrome. CISA đã đưa CVE-2025-13223 vào danh sách Lỗ hổng đã khai thác đã biết (KEV) ngày 19/11 và ấn định hạn chót 10/12 để các cơ quan liên bang hoàn tất việc cập nhật hoặc dừng sử dụng trình duyệt.
Dù chỉ áp dụng bắt buộc với nhân viên liên bang, CISA cho biết quy định này nhằm “bảo vệ cộng đồng an ninh mạng và hỗ trợ mọi tổ chức quản lý lỗ hổng hiệu quả hơn”.
Ảnh minh họa
Google khuyến nghị tất cả người dùng Chrome nên cập nhật ngay lập tức. Trình duyệt sẽ tự động tải bản cập nhật, nhưng người dùng phải khởi động lại Chrome để hoàn tất cài đặt. Các tab thông thường sẽ được khôi phục, trong khi tab ẩn danh sẽ không.
Hiện chưa có nhiều thông tin chi tiết về lỗ hổng zero-day này, nhưng các lỗ hổng kiểu “type confusion” có thể cho phép tin tặc từ xa gây mất ổn định hệ thống, thực thi mã độc, đánh cắp dữ liệu hoặc cài phần mềm độc hại. Chúng cũng có thể được kết hợp với lỗ hổng khác để trở thành điểm xâm nhập ban đầu vào thiết bị hoặc mạng nội bộ.
Theo NIST, lỗ hổng “type confusion” trong V8 trên Chrome trước phiên bản 142.0.7444.175 cho phép tin tặc khai thác lỗi heap thông qua một trang HTML được tạo thủ công. Lỗ hổng được xếp loại mức độ nghiêm trọng cao.
Google cho biết chi tiết kỹ thuật của lỗi sẽ tạm thời bị hạn chế cho tới khi phần lớn người dùng nhận bản vá, hoặc khi lỗi trong các thư viện bên thứ ba liên quan được khắc phục hoàn toàn.
Bản cập nhật mới đưa Chrome Stable lên phiên bản 142.0.7444.175/.176 trên Windows, 142.0.7444.176 trên macOS và 142.0.7444.175 trên Linux. Dù Google thông báo quá trình triển khai “sẽ diễn ra trong vài ngày hoặc vài tuần”, nhiều người dùng có thể nhận bản cập nhật ngay hôm nay.
Dù các lỗ hổng zero-day trên Chrome xuất hiện khá thường xuyên, Google vẫn được đánh giá cao nhờ tốc độ phát hiện và phát hành bản vá. Người dùng được khuyến cáo cập nhật ngay khi trình duyệt yêu cầu khởi động lại.
