Google vừa phát hành một bản cập nhật khẩn cấp để vá lỗ hổng zero-day mới trên trình duyệt Chrome, đánh dấu đây là lỗ hổng nghiêm trọng thứ tư được hãng xử lý kể từ đầu năm 2025.
Trong thông báo bảo mật phát hành hôm thứ Hai, Google xác nhận rằng lỗ hổng này – được định danh là CVE-2025-6554 – đã bị khai thác ngoài thực địa. Công ty cho biết vấn đề đã được giảm thiểu vào ngày 26 tháng 6 năm 2025 thông qua một thay đổi cấu hình được đẩy lên kênh Stable trên tất cả các nền tảng.
Bản vá cho lỗ hổng đã được phát hành đến người dùng Chrome kênh Stable Desktop, với các phiên bản mới được phân phối cho Windows (138.0.7204.96/.97), Mac (138.0.7204.92/.93), và Linux (138.0.7204.96), chỉ một ngày sau khi lỗ hổng được báo cáo cho Google.

Lỗ hổng CVE-2025-6554 do Clément Lecigne, chuyên gia của nhóm Google Threat Analysis Group (TAG) phát hiện. Đây là nhóm chuyên trách bảo vệ người dùng của Google khỏi các chiến dịch tấn công có tài trợ nhà nước. Trong quá khứ, TAG đã từng phát hiện nhiều chiến dịch khai thác lỗ hổng zero-day nhắm đến các đối tượng có rủi ro cao như chính trị gia đối lập, nhà báo, và nhà hoạt động.
Dù Google chưa công bố chi tiết kỹ thuật về cuộc tấn công lợi dụng lỗ hổng này, hãng cho biết bản cập nhật bảo mật đã sẵn sàng, mặc dù việc triển khai đến toàn bộ người dùng có thể mất vài ngày hoặc vài tuần. Khi phóng viên của BleepingComputer kiểm tra cập nhật vào sáng cùng ngày, bản vá đã có sẵn để tải về.
Người dùng có thể chủ động kiểm tra và cập nhật Chrome theo cách thủ công, hoặc để trình duyệt tự động cập nhật khi được khởi động lại.

CVE-2025-6554 là một lỗ hổng type confusion nghiêm trọng trong V8 JavaScript engine – thành phần cốt lõi trong Chrome. Những lỗi dạng này có thể gây crash trình duyệt do truy cập bộ nhớ vượt giới hạn, và nếu bị khai thác thành công, chúng có thể cho phép kẻ tấn công thực thi mã độc từ xa trên thiết bị người dùng chưa được vá.
Google cho biết sẽ chưa công khai chi tiết lỗ hổng cho đến khi phần lớn người dùng đã cập nhật, và sẽ tiếp tục giữ kín nếu lỗi vẫn tồn tại trong thư viện bên thứ ba được nhiều dự án khác sử dụng nhưng chưa khắc phục.
Đây là lỗ hổng zero-day thứ tư trong năm 2025 được xác nhận là đã bị khai thác thực tế. Ba lỗ hổng trước đó đã được vá vào tháng 3, tháng 5 và tháng 6.
Trong số này, CVE-2025-2783 được phát hiện bởi hai chuyên gia của Kaspersky là Boris Larin và Igor Kuznetsov, được sử dụng trong chiến dịch gián điệp nhắm vào cơ quan chính phủ và truyền thông Nga.
Tiếp theo đó, Google vá lỗ hổng CVE-2025-4664 vào tháng 5, vốn có thể bị lợi dụng để chiếm quyền kiểm soát tài khoản người dùng.
Tháng 6, hãng tiếp tục xử lý một lỗ hổng đọc/ghi ngoài giới hạn trong V8, do hai chuyên gia Benoît Sevens và Clément Lecigne của nhóm TAG phát hiện.
Trong năm 2024, Google đã xử lý tổng cộng 10 lỗ hổng zero-day, bao gồm cả những lỗi bị khai thác ngoài thực tế lẫn lỗi được trình diễn trong cuộc thi tấn công nổi tiếng Pwn2Own.