Google phát hành bản cập nhật khẩn cấp vá lỗ hổng nghiêm trọng trên Chrome, hạn chót cập nhật trong 21 ngày

Google vừa phát hành bản cập nhật khẩn cấp cho trình duyệt Chrome sau khi phát hiện một lỗ hổng bảo mật nghiêm trọng đang bị khai thác thực tế. Theo thông báo, lỗ hổng này – CVE-2025-5419 – liên quan đến lỗi đọc và ghi ngoài bộ nhớ (out-of-bounds read and write) trong công cụ V8 JavaScript, được đánh giá ở mức “nguy cơ cao”. Tuy nhiên, điều đáng lo ngại hơn là khai thác đã bị ghi nhận đang diễn ra, buộc người dùng cần cập nhật trình duyệt càng sớm càng tốt.

Trước đó, vào ngày 28 tháng 5, Google đã triển khai một biện pháp cấu hình để giảm thiểu tạm thời rủi ro trên tất cả các nền tảng, ngay cả trước khi bản vá chính thức được phát hành.

Ngoài CVE-2025-5419, bản cập nhật còn bao gồm một bản vá khác – CVE-2025-5068 – liên quan đến lỗi “use after free” trong Blink, một thành phần hiển thị của trình duyệt, do một nhà nghiên cứu bên ngoài phát hiện.

Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã đưa ra hạn chót 21 ngày (từ ngày 5 đến 26 tháng 6) để nhân viên liên bang cập nhật trình duyệt hoặc ngừng sử dụng Chrome. Mặc dù chỉ áp dụng bắt buộc với nhân viên liên bang, cảnh báo này được khuyến nghị cho mọi tổ chức và người dùng nhằm bảo vệ an toàn trước nguy cơ bị khai thác từ xa qua các trang HTML được thiết kế độc hại.

CISA cảnh báo rằng lỗ hổng CVE-2025-5419 có thể ảnh hưởng đến nhiều trình duyệt dựa trên Chromium, bao gồm Google Chrome, Microsoft Edge và Opera. Microsoft cũng đã cập nhật Edge để vá lỗi tương ứng và xác nhận có khai thác thực tế.

Google sẽ hạn chế công bố chi tiết kỹ thuật của lỗ hổng cho đến khi phần lớn người dùng được cập nhật. Người dùng được khuyến cáo kiểm tra thông báo cập nhật trình duyệt, khởi động lại Chrome để hoàn tất cài đặt. Lưu ý rằng các tab thông thường sẽ tự động mở lại sau khi khởi động lại, nhưng các tab ẩn danh (Incognito) thì không, do đó nên lưu lại thông tin cần thiết trước khi cập nhật.