Cơ quan An ninh mạng và Hạ tầng Hoa Kỳ (CISA) đã thêm lỗ hổng CVE-2025-4664 vào danh mục các lỗ hổng đã bị khai thác thực tế, do lỗ hổng này đang bị tin tặc tích cực lợi dụng trong các cuộc tấn công ngoài môi trường thực tế.
Đây là một lỗ hổng nghiêm trọng trong nền tảng Google Chromium, liên quan đến việc thực thi chính sách không đầy đủ trong thành phần Loader. Lỗ hổng này cho phép kẻ tấn công từ xa rò rỉ dữ liệu giữa các nguồn (cross-origin) thông qua các trang HTML được thiết kế đặc biệt. Với việc đang bị khai thác tích cực, lỗ hổng này tạo ra rủi ro bảo mật lớn cho người dùng trên toàn thế giới.
Vì ảnh hưởng trực tiếp đến Google Chromium – nền tảng của nhiều trình duyệt phổ biến như Google Chrome, Microsoft Edge và Opera – CISA khuyến cáo người dùng cần ngay lập tức thực hiện cập nhật theo hướng dẫn của Google. Cụ thể, các phiên bản Chrome cần được cập nhật là: 136.0.7103.113 hoặc 136.0.7103.114 đối với Windows và macOS, và 136.0.7103.113 đối với Linux.
Trong trường hợp chưa thể triển khai bản vá, người dùng nên tạm ngừng sử dụng trình duyệt bị ảnh hưởng và thực hiện các biện pháp bảo vệ theo hướng dẫn của BOD 22-01 dành cho các dịch vụ đám mây. Hạn chót để triển khai các biện pháp giảm thiểu rủi ro là ngày 5 tháng 6 năm 2025.
Phân tích kỹ thuật cho thấy CVE-2025-4664 thuộc nhóm lỗ hổng do thực thi chính sách bảo mật không đầy đủ trong thành phần Loader của Chromium. Cụ thể, lỗi này cho phép kẻ tấn công từ xa vượt qua các cơ chế bảo mật để rò rỉ dữ liệu giữa các nguồn thông qua một trang HTML được tạo đặc biệt. Lỗ hổng này được phân loại trong nhóm CWE-346 – nhóm các lỗi liên quan đến việc thực thi không đúng các chính sách bảo mật.
Nguyên nhân sâu xa của lỗ hổng đến từ việc hệ thống truyền sai đối tượng xử lý (handle) trong lớp giao tiếp giữa các tiến trình (Mojo IPC) của Chrome, trong một số tình huống chưa được xác định rõ. Điều này có thể tạo điều kiện cho việc thực thi mã trái phép hoặc vượt qua sandbox, gây nguy cơ nghiêm trọng cho an toàn hệ thống.
| Thuộc tính | Chi tiết |
|---|---|
| Mã CVE | CVE-2025-4664 |
| Mức độ nghiêm trọng | Cao (High) |
| Mô tả | Thiếu kiểm soát chính sách trong Loader, cho phép rò rỉ dữ liệu giữa các nguồn gốc khác nhau (cross-origin) |
| Thành phần ảnh hưởng | Trình nạp (Loader) của Chromium – lớp giao tiếp Mojo IPC |
| Tình trạng khai thác | Đang bị khai thác tích cực ngoài thực tế, đã được Google xác nhận |
| CWE liên quan | CWE-346 (Thiếu thực thi chính sách một cách đầy đủ) |
| Người báo cáo | @slonser_ thông qua bài đăng trên X, cùng với một báo cáo bổ sung từ nhà nghiên cứu Micky vào ngày 22 tháng 4 năm 2025 |
Lỗ hổng bảo mật CVE-2025-4664 gây ra những rủi ro nghiêm trọng, đặc biệt là khả năng rò rỉ dữ liệu trái phép giữa các nguồn trang web khác nhau (cross-origin), từ đó đe dọa trực tiếp đến quyền riêng tư và an toàn thông tin của người dùng. Việc lỗ hổng này được phân loại là zero-day càng làm tăng mức độ nguy hiểm, bởi nó đã bị tin tặc khai thác trước khi Google phát hành bản vá chính thức. Dù chưa có bằng chứng cụ thể cho thấy lỗ hổng này được sử dụng trong các chiến dịch ransomware, việc nó đang bị khai thác tích cực cho thấy nguy cơ tiềm ẩn rất lớn, bao gồm cả khả năng leo thang đặc quyền hoặc gây lỗi bộ nhớ trong kiến trúc đa tiến trình của trình duyệt Chrome.
Trước tình hình này, Google đã nhanh chóng phát hành bản cập nhật kênh ổn định cho trình duyệt Chrome vào ngày 15 tháng 5 năm 2025, nhằm xử lý lỗ hổng trên các nền tảng máy tính để bàn, bao gồm Windows, macOS và Linux. Người dùng được khuyến nghị cập nhật Chrome lên các phiên bản mới nhất: 136.0.7103.113 hoặc 136.0.7103.114 cho Windows và Mac, và 136.0.7103.113 cho Linux. Cùng với đó, Cơ quan An ninh mạng và Hạ tầng Hoa Kỳ (CISA) cũng đưa ra khuyến cáo cần thực hiện đầy đủ các biện pháp giảm thiểu theo hướng dẫn từ nhà cung cấp và tuân thủ chỉ đạo trong BOD 22-01 đối với các môi trường sử dụng dịch vụ đám mây. Trong trường hợp chưa thể triển khai bản vá, người dùng cần xem xét tạm ngừng sử dụng các trình duyệt bị ảnh hưởng để tránh rủi ro. Thời hạn cuối để hoàn tất các biện pháp khắc phục là ngày 5 tháng 6 năm 2025, tức khoảng ba tuần kể từ khi lỗ hổng được đưa vào danh sách các lỗ hổng đang bị khai thác thực tế.
Để đảm bảo an toàn, người dùng và các quản trị viên hệ thống cần cập nhật Chrome lên phiên bản mới nhất càng sớm càng tốt, đồng thời chủ động theo dõi hệ thống để phát hiện sớm các dấu hiệu bất thường. Việc tuân thủ các khuyến nghị của CISA và cập nhật thông tin bảo mật qua các kênh chính thức như blog của Google hoặc danh mục KEV của CISA cũng là điều rất cần thiết. Đối với các tổ chức, nên ưu tiên triển khai các hệ thống tự động cập nhật bản vá nhằm giảm thiểu thời gian phơi nhiễm với rủi ro. Ngoài ra, đánh giá bảo mật định kỳ và nâng cao nhận thức cho người dùng về các hành vi duyệt web an toàn cũng là những yếu tố quan trọng giúp tăng cường khả năng phòng vệ trước các cuộc tấn công mạng ngày càng tinh vi.
