Google phát hành bản bảo mật khẩn cấp cho Chrome để xử lý lỗ hổng zero-day

Google phát hành bản vá khẩn cấp cho Chrome để xử lý lỗ hổng zero-day nghiêm trọng.

Lỗ hổng, được định danh là CVE-2025-2783, cho phép kẻ tấn công vượt qua cơ chế bảo vệ sandbox của Chrome - lớp phòng thủ quan trọng giúp ngăn phần mềm độc hại kiểm soát toàn bộ hệ thống. Nếu khai thác thành công, tin tặc có thể cài đặt mã độc, kiểm soát máy tính nạn nhân, và đánh cắp dữ liệu.

Theo cảnh báo từ Google, mức độ rủi ro của lỗ hổng này là “nghiêm trọng” và đang bị khai thác tích cực ngoài thực tế, nên bản vá đã được tích hợp ngay vào Chrome phiên bản 134.0.6998.178. Người dùng Windows đặc biệt được khuyến cáo cập nhật trình duyệt ngay lập tức để tránh trở thành mục tiêu tấn công.

Hiện Google chưa công bố chi tiết kỹ thuật của lỗ hổng nhằm ngăn chặn việc tin tặc lợi dụng trong khi người dùng chưa cập nhật đầy đủ.

Lỗ hổng được phát hiện bởi hai chuyên gia bảo mật Boris Larin và Igor Kuznetsov của hãng phần mềm bảo mật Kaspersky. Theo Kaspersky, đây là một trong các mắt xích quan trọng trong chiến dịch tấn công có chủ đích mang tên "Operation ForumTroll".

Chiến dịch này sử dụng hình thức lừa đảo qua email tinh vi, giả danh là thư mời từ diễn đàn khoa học "Primakov Readings", nhắm đến các tổ chức giáo dục, truyền thông và cơ quan chính phủ tại Nga. Khi nạn nhân nhấp vào liên kết trong email, họ bị chuyển hướng tới trang web độc hại, nơi phần mềm gián điệp được cài đặt.

Kaspersky cho biết chiến dịch này còn khai thác thêm một lỗ hổng khác cho phép thực thi mã từ xa, tuy nhiên việc vá lỗ hổng Chrome là đủ để phá vỡ toàn bộ chuỗi tấn công.

Google khuyến cáo người dùng trình duyệt Chrome – đặc biệt trên hệ điều hành Windows – hãy kiểm tra và cập nhật ngay lên phiên bản 134.0.6998.178 hoặc mới hơn để đảm bảo an toàn.

Cách kiểm tra và cập nhật Chrome: Mở trình duyệt Chrome

Vào menu ba chấm (góc phải trên cùng) → Trợ giúp (Help) → Giới thiệu về Google Chrome (About Google Chrome)

Trình duyệt sẽ tự động kiểm tra và cập nhật nếu có phiên bản mới