Google vừa triển khai bản cập nhật bảo mật khẩn cấp cho trình duyệt Chrome, nhằm ngăn chặn một lỗ hổng nghiêm trọng đang bị khai thác tích cực ngoài thực tế. Sự việc được phát hiện vào ngày 27/5 bởi hai chuyên gia thuộc Nhóm Phân tích Mối đe dọa của Google (TAG), Clément Lecigne và Benoît Sevens.

Lỗ hổng, được định danh là CVE-2025-5419, nằm trong công cụ JavaScript V8 của Chrome. Đây là lỗi đọc/ghi ngoài vùng nhớ cho phép kẻ tấn công từ xa có thể can thiệp vào bộ nhớ và chiếm quyền thực thi mã độc thông qua một trang HTML được thiết kế đặc biệt. Nếu bị khai thác thành công, lỗ hổng này có thể dẫn đến rò rỉ dữ liệu nhạy cảm, thực thi mã tùy ý hoặc làm sập trình duyệt của người dùng.

Theo thông báo từ Google, công ty đã âm thầm thực hiện một thay đổi cấu hình trên tất cả nền tảng Chrome để vô hiệu hóa hành vi khai thác, chỉ một ngày sau khi lỗ hổng được phát hiện. Bản cập nhật chính thức khắc phục vấn đề được phát hành ngày 3/6 thông qua Chrome phiên bản 137.0.7151.68 và .69 cho Windows và macOS, cùng phiên bản 137.0.7151.68 cho Linux.

Bên cạnh đó, Google cũng xử lý thêm một lỗi bảo mật mức độ trung bình, CVE-2025-5068, thuộc nhóm lỗi use-after-free trong Blink – công cụ dựng nội dung mã nguồn mở của Chrome.

Đây là lần thứ ba trong vòng chưa đầy ba tháng, Google phải phát hành bản vá gấp cho Chrome do các lỗ hổng bị khai thác ngoài thực tế. Trước đó vào tháng 3, một lỗ hổng khác (CVE-2025-2783) cho phép vượt qua sandbox cơ chế bảo mật quan trọng của trình duyệt – đã bị tin tặc lợi dụng trong chiến dịch gián điệp mạng nhằm vào các cơ quan chính phủ, nhà báo và giới học thuật tại Nga. Theo các nhà nghiên cứu của Kaspersky, lỗ hổng này đặc biệt nguy hiểm vì không yêu cầu thực hiện hành vi bất thường nào, nhưng vẫn có thể phá vỡ lớp cách ly bảo mật của Chrome.

Đến tháng 5, Google tiếp tục phát hành một bản vá khẩn khác cho CVE-2025-4664 – lỗi liên quan đến việc thực thi không đầy đủ chính sách trong thành phần Loader của trình duyệt, cho phép kẻ tấn công thực thi mã trái phép hoặc thoát khỏi môi trường sandbox. Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã nhanh chóng đưa lỗ hổng này vào danh sách các lỗ hổng bị khai thác thực tế (KEV).

Mặc dù Google chưa công bố chi tiết về nhóm tấn công đứng sau các vụ việc này, nhưng nhóm TAG vốn nổi tiếng với việc theo dõi hoạt động của các nhóm gián điệp mạng, bao gồm cả các chiến dịch sử dụng phần mềm gián điệp nhắm vào mục tiêu chính trị, chính phủ và doanh nghiệp.

Theo thông lệ, Google chỉ công bố thông tin kỹ thuật chi tiết về lỗ hổng sau khi phần lớn người dùng đã cập nhật trình duyệt, nhằm tránh bị khai thác thêm trong quá trình phát hành bản vá.