Google cho biết họ đã phát hiện ra ba lỗ hổng trong Chrome. Như gã khổng lồ Mountain View giải thích trong thông báo được công bố trên trang web của mình, hai trong số các lỗ hổng bảo mật đã được các nhà nghiên cứu bên ngoài tìm thấy như một phần của chương trình tiền thưởng cho lỗi.
Để khai thác lỗ hổng, kẻ tấn công phải bẫy một trang web bằng mã JavaScript độc hại. Điều này có thể làm hỏng bộ nhớ hoặc thực thi mã tùy ý. Nói cách khác, chúng kiểm soát trình duyệt và máy tính. Nếu trang web có bẫy được thiết kế tốt, cuộc tấn công không yêu cầu bất kỳ tương tác nào của người dùng.
Lỗi thứ hai, cũng có mức độ nghiêm trọng cao, nằm trong thành phần Profiler của Chrome, công cụ đo hiệu suất nội bộ của trình duyệt. Khi Profiler đo hiệu suất nhất định, nó sẽ tạm thời phân bổ bộ nhớ cho các hoạt động của mình. Sau khi hoàn tất, nó sẽ giải phóng bộ nhớ này khi không còn cần thiết nữa. Do lỗi, Chrome vô tình sử dụng lại bộ nhớ đã giải phóng này, có thể gây ra lỗi hỏng có thể bị tin tặc khai thác. Với JavaScript có bẫy, chúng có thể thực thi mã trong bộ nhớ để kiểm soát trình duyệt và đánh cắp dữ liệu. Trong cảnh báo của mình, Google không đề cập đến lỗi thứ ba, lỗi này đã được nhóm của Google phát hiện. Tin tốt là "Google chưa phát hiện bất kỳ hoạt động khai thác nào đối với các lỗi này tại thời điểm công bố". Các lỗ hổng đã được các nhà nghiên cứu phát hiện trước khi tội phạm mạng có thể phát hiện ra. Google phát hành bản vá Để ngăn chặn các cuộc tấn công tiềm ẩn, Google đã triển khai bản vá khẩn cấp trên Chrome. Công ty Mỹ giải thích rằng họ đã bắt đầu tung ra Chrome phiên bản 137.0.7151.119/.120 cho macOS và Windows, cũng như 137.0.7151.119 cho Linux, kể từ thứ Ba, ngày 17 tháng 6 năm 2025. Tất cả PC sẽ nhận được bản vá "trong những ngày/tuần tới". Vài tuần trước, Google đã triển khai bản cập nhật khẩn cấp để khắc phục lỗ hổng của Chrome. Tuy nhiên, lỗ hổng này đã bị tin tặc khai thác tích cực. Cập nhật Chrome càng sớm càng tốt. Truy cập Giới thiệu về Google Chrome và nhấp vào Khởi chạy lại để hoàn tất cài đặt. Nhớ khởi động lại Chrome thường xuyên để nhận các bản vá mới nhất. Để thuận tiện, hãy bật cập nhật tự động. Nếu bạn đang sử dụng trình duyệt như Edge hoặc Brave, hãy cân nhắc cập nhật chúng. Chúng dựa trên cùng một công cụ kết xuất như Chrome, cụ thể là Chromium.
Nguồn: Google
Lỗ hổng nghiêm trọng cao trong mã Chrome
Lỗ hổng đầu tiên liên quan đến công cụ JavaScript V8, chịu trách nhiệm thực thi mã của các trang web. Được Google coi là có mức độ nghiêm trọng cao, lỗ hổng này xảy ra khi Chrome thực hiện các phép tính không chính xác. Sau đó, trình duyệt có khả năng đọc hoặc ghi dữ liệu vào một vị trí không chính xác trong bộ nhớ, mở ra cánh cửa cho một cuộc tấn công.Để khai thác lỗ hổng, kẻ tấn công phải bẫy một trang web bằng mã JavaScript độc hại. Điều này có thể làm hỏng bộ nhớ hoặc thực thi mã tùy ý. Nói cách khác, chúng kiểm soát trình duyệt và máy tính. Nếu trang web có bẫy được thiết kế tốt, cuộc tấn công không yêu cầu bất kỳ tương tác nào của người dùng.
Lỗi thứ hai, cũng có mức độ nghiêm trọng cao, nằm trong thành phần Profiler của Chrome, công cụ đo hiệu suất nội bộ của trình duyệt. Khi Profiler đo hiệu suất nhất định, nó sẽ tạm thời phân bổ bộ nhớ cho các hoạt động của mình. Sau khi hoàn tất, nó sẽ giải phóng bộ nhớ này khi không còn cần thiết nữa. Do lỗi, Chrome vô tình sử dụng lại bộ nhớ đã giải phóng này, có thể gây ra lỗi hỏng có thể bị tin tặc khai thác. Với JavaScript có bẫy, chúng có thể thực thi mã trong bộ nhớ để kiểm soát trình duyệt và đánh cắp dữ liệu. Trong cảnh báo của mình, Google không đề cập đến lỗi thứ ba, lỗi này đã được nhóm của Google phát hiện. Tin tốt là "Google chưa phát hiện bất kỳ hoạt động khai thác nào đối với các lỗi này tại thời điểm công bố". Các lỗ hổng đã được các nhà nghiên cứu phát hiện trước khi tội phạm mạng có thể phát hiện ra. Google phát hành bản vá Để ngăn chặn các cuộc tấn công tiềm ẩn, Google đã triển khai bản vá khẩn cấp trên Chrome. Công ty Mỹ giải thích rằng họ đã bắt đầu tung ra Chrome phiên bản 137.0.7151.119/.120 cho macOS và Windows, cũng như 137.0.7151.119 cho Linux, kể từ thứ Ba, ngày 17 tháng 6 năm 2025. Tất cả PC sẽ nhận được bản vá "trong những ngày/tuần tới". Vài tuần trước, Google đã triển khai bản cập nhật khẩn cấp để khắc phục lỗ hổng của Chrome. Tuy nhiên, lỗ hổng này đã bị tin tặc khai thác tích cực. Cập nhật Chrome càng sớm càng tốt. Truy cập Giới thiệu về Google Chrome và nhấp vào Khởi chạy lại để hoàn tất cài đặt. Nhớ khởi động lại Chrome thường xuyên để nhận các bản vá mới nhất. Để thuận tiện, hãy bật cập nhật tự động. Nếu bạn đang sử dụng trình duyệt như Edge hoặc Brave, hãy cân nhắc cập nhật chúng. Chúng dựa trên cùng một công cụ kết xuất như Chrome, cụ thể là Chromium.
Nguồn: Google
