-
09/04/2020
-
112
-
1.101 bài viết
Chrome dính lỗ hổng RCE nghiêm trọng, Google tung bản vá khẩn cấp
Google vừa tung ra bản cập nhật bảo mật khẩn cấp cho trình duyệt Chrome trên Windows, Mac và Linux nhằm xử lý một lỗ hổng nghiêm trọng cho phép tin tặc thực thi mã từ xa. Đây là một trong những bản vá quan trọng nhất của Chrome trong năm 2025 và người dùng được khuyến cáo cập nhật ngay để giảm thiểu nguy cơ bị khai thác.
Bản vá nâng Chrome lên phiên bản 140.0.7339.127/.128 cho Windows, 140.0.7339.132/.133 cho Mac và 140.0.7339.127 cho Linux. Google cho biết bản cập nhật đang được phát hành theo từng đợt và sẽ sớm đến tay toàn bộ người dùng. Đây là bản cập nhật tiếp nối chuỗi bản vá của Chrome 140 vốn đã khắc phục nhiều vấn đề bảo mật trước đó.
Trọng tâm của bản vá lần này là CVE-2025-10200 (CVSS:8,8), một lỗi use-after-free nghiêm trọng trong thành phần Serviceworker. Lỗi xuất hiện khi chương trình cố gắng truy cập vùng nhớ đã được giải phóng, có thể dẫn đến crash, rò rỉ dữ liệu hoặc tệ hơn là cho phép thực thi mã tùy ý. Kẻ tấn công có thể khai thác bằng cách tạo trang web độc hại, khi nạn nhân truy cập sẽ kích hoạt thực thi mã từ xa trên hệ thống. Lỗ hổng được nhà nghiên cứu bảo mật Looben Yang phát hiện ngày 22/8/2025 và đã được Google thưởng 43.000 USD nhờ mức độ nghiêm trọng của phát hiện này.
Ngoài ra, bản cập nhật cũng xử lý CVE-2025-10201, lỗi “inappropriate implementation” trong Mojo – bộ thư viện hỗ trợ giao tiếp giữa các tiến trình trong Chromium. Sai sót trong Mojo có thể bị lợi dụng để phá vỡ sandbox, lớp bảo vệ quan trọng của Chrome nhằm ngăn kẻ tấn công thoát khỏi phạm vi của trình duyệt và can thiệp vào hệ điều hành. Lỗ hổng được phát hiện ngày 18/8/2025 bởi Sahan Fernando cùng một nhà nghiên cứu ẩn danh. Báo cáo này đã được Google trao thưởng 30.000 USD.
Google cho biết thông tin kỹ thuật chi tiết về các lỗ hổng sẽ được giữ kín cho đến khi đa số người dùng đã cài đặt bản vá. Người dùng có thể chủ động kiểm tra và cập nhật bằng cách vào Cài đặt > Giới thiệu về Google Chrome. Trình duyệt sẽ tự động tìm bản cập nhật và yêu cầu khởi động lại để hoàn tất cài đặt.
Bản vá nâng Chrome lên phiên bản 140.0.7339.127/.128 cho Windows, 140.0.7339.132/.133 cho Mac và 140.0.7339.127 cho Linux. Google cho biết bản cập nhật đang được phát hành theo từng đợt và sẽ sớm đến tay toàn bộ người dùng. Đây là bản cập nhật tiếp nối chuỗi bản vá của Chrome 140 vốn đã khắc phục nhiều vấn đề bảo mật trước đó.
Trọng tâm của bản vá lần này là CVE-2025-10200 (CVSS:8,8), một lỗi use-after-free nghiêm trọng trong thành phần Serviceworker. Lỗi xuất hiện khi chương trình cố gắng truy cập vùng nhớ đã được giải phóng, có thể dẫn đến crash, rò rỉ dữ liệu hoặc tệ hơn là cho phép thực thi mã tùy ý. Kẻ tấn công có thể khai thác bằng cách tạo trang web độc hại, khi nạn nhân truy cập sẽ kích hoạt thực thi mã từ xa trên hệ thống. Lỗ hổng được nhà nghiên cứu bảo mật Looben Yang phát hiện ngày 22/8/2025 và đã được Google thưởng 43.000 USD nhờ mức độ nghiêm trọng của phát hiện này.
Ngoài ra, bản cập nhật cũng xử lý CVE-2025-10201, lỗi “inappropriate implementation” trong Mojo – bộ thư viện hỗ trợ giao tiếp giữa các tiến trình trong Chromium. Sai sót trong Mojo có thể bị lợi dụng để phá vỡ sandbox, lớp bảo vệ quan trọng của Chrome nhằm ngăn kẻ tấn công thoát khỏi phạm vi của trình duyệt và can thiệp vào hệ điều hành. Lỗ hổng được phát hiện ngày 18/8/2025 bởi Sahan Fernando cùng một nhà nghiên cứu ẩn danh. Báo cáo này đã được Google trao thưởng 30.000 USD.
Google cho biết thông tin kỹ thuật chi tiết về các lỗ hổng sẽ được giữ kín cho đến khi đa số người dùng đã cài đặt bản vá. Người dùng có thể chủ động kiểm tra và cập nhật bằng cách vào Cài đặt > Giới thiệu về Google Chrome. Trình duyệt sẽ tự động tìm bản cập nhật và yêu cầu khởi động lại để hoàn tất cài đặt.
Theo Cyber Security News