Google phát hành bản vá khẩn cấp cho lỗ hổng zero-day CVE-2025-4439 trên Chrome

Một lỗ hổng nghiêm trọng đang bị khai thác trong thực tế đã được Google vá kịp thời, người dùng Chrome cần cập nhật ngay để tránh rủi ro tấn công từ xa.

Google vừa phát hành bản cập nhật bảo mật khẩn cấp cho trình duyệt Chrome để xử lý lỗ hổng zero-day CVE-2025-4439, đang bị khai thác tích cực ngoài thực tế. Đây là lỗ hổng zero-day thứ 6 được Google vá trong năm 2025, cho thấy trình duyệt phổ biến nhất thế giới đang ngày càng trở thành mục tiêu hấp dẫn của hacker.

Lỗ hổng CVE-2025-4439

• Loại lỗi: Use-After-Free

• Thành phần bị ảnh hưởng: Media Stream

• Mức độ nguy hiểm: Cao

• Tác động: Cho phép kẻ tấn công thực thi mã từ xa (RCE) nếu người dùng truy cập một trang web độc hại.

Lỗi xảy ra do việc quản lý bộ nhớ không đúng cách trong quá trình xử lý luồng media, khiến dữ liệu đã bị giải phóng vẫn tiếp tục bị truy cập. Kẻ tấn công có thể lợi dụng để chèn mã độc, chiếm quyền kiểm soát trình duyệt hoặc thậm chí toàn bộ thiết bị.

Theo Google, lỗ hổng đang bị khai thác tích cực (in-the-wild), tuy nhiên công ty chưa tiết lộ chi tiết về nhóm tấn công hay mục tiêu cụ thể, nhằm tránh việc sao chép kỹ thuật. Việc công bố công khai được trì hoãn cho đến khi phần lớn người dùng đã cập nhật.

Các phiên bản Chrome đã được vá

• Chrome bản 117.0.5938.132 cho Windows

• Chrome bản 117.0.5938.132/.133 cho macOS và Linux

Người dùng có thể kiểm tra và cập nhật trình duyệt bằng cách truy cập:
Cài đặt > Giới thiệu về Chrome > Cập nhật (trình duyệt sẽ tự động tải bản mới nếu có).

Khuyến nghị cho người dùng và doanh nghiệp

1. Cập nhật Chrome ngay lập tức trên tất cả thiết bị cá nhân và công việc.

2. Cân nhắc bật tính năng cách ly site (Site Isolation) để hạn chế rủi ro nếu một tab bị khai thác.

3. Sử dụng giải pháp bảo mật có khả năng giám sát hành vi trình duyệt, nhất là trong môi trường doanh nghiệp.

4. Nâng cao cảnh giác với các website hoặc nội dung đáng ngờ, nhất là khi truy cập từ email lạ.

Các cuộc tấn công thông qua trình duyệt đang ngày càng phổ biến và nguy hiểm, đặc biệt với các lỗ hổng zero-day chưa được vá. Việc Google liên tục phát hành bản cập nhật cho thấy mức độ cấp thiết trong việc bảo vệ người dùng trước những cuộc tấn công tinh vi, đòi hỏi sự phối hợp chặt chẽ giữa công nghệ bảo mật và ý thức người sử dụng.

Hương - Theo TheHackerNews