Chrome vá khẩn hai lỗ hổng nguy hiểm cho phép tin tặc thực thi mã từ xa

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
122
1.423 bài viết
Chrome vá khẩn hai lỗ hổng nguy hiểm cho phép tin tặc thực thi mã từ xa
WhiteHat Team
Google vừa phát hành bản cập nhật bảo mật cho trình duyệt Chrome, vá hai lỗ hổng nghiêm trọng có thể bị khai thác để thực thi mã từ xa trên hệ thống người dùng. Các lỗ hổng này ảnh hưởng trực tiếp đến những thành phần cốt lõi của Chrome, khiến nguy cơ bị tấn công tăng cao nếu người dùng chậm trễ cập nhật.
chrome.png

Theo Google, bản vá được phát hành trong Chrome phiên bản 143.0.7499.146 và 143.0.7499.147, hiện đã bắt đầu triển khai cho người dùng Windows và macOS, trong khi Linux nhận phiên bản 143.0.7499.146. Quá trình cập nhật sẽ được phân phối dần trong thời gian tới.

Lỗ hổng đầu tiên là CVE-2025-14765, lỗi use-after-free trong WebGPU, thành phần xử lý đồ họa của Chrome. Lỗi này xuất phát từ việc quản lý bộ nhớ không an toàn, cho phép kẻ tấn công thao túng vùng nhớ đã bị giải phóng và từ đó thực thi mã tùy ý trên hệ thống nạn nhân. Lỗ hổng được một nhà nghiên cứu ẩn danh phát hiện vào cuối tháng 9/2025 và Google đã trao 10.000 USD tiền thưởng, cho thấy mức độ nghiêm trọng của vấn đề.

Lỗ hổng còn lại là CVE-2025-14766, ảnh hưởng đến V8 - công cụ JavaScript cốt lõi của Chrome, dưới dạng đọc và ghi ngoài vùng nhớ cho phép. Đây là dạng lỗi đặc biệt nguy hiểm vì V8 nằm ở trung tâm hoạt động của trình duyệt, cho phép xử lý hầu hết nội dung web động. Lỗ hổng này được nhà nghiên cứu Shaheen Fazim báo cáo vào ngày 8/12/2025 và có thể dẫn tới rò rỉ dữ liệu hoặc thực thi mã nếu bị khai thác thành công.

Google khuyến cáo người dùng cập nhật Chrome càng sớm càng tốt để giảm thiểu nguy cơ bị tấn công. Trên Windows và macOS, bản cập nhật sẽ tự động được cài đặt khi trình duyệt khởi động lại. Với người dùng Linux, có thể chủ động kiểm tra và cài đặt bằng cách truy cập Settings, chọn About Chrome và buộc cập nhật phiên bản mới nhất.

Với các lỗ hổng cho phép thực thi mã từ xa, việc trì hoãn cập nhật Chrome đồng nghĩa với việc để ngỏ cánh cửa cho tin tặc. Người dùng và các tổ chức nên sớm kiểm tra và cài đặt bản vá để tránh rơi vào tầm ngắm của tin tặc.
Theo Cyber Security News
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Google phát hành bản vá khẩn cấp cho hai lỗ hổng nguy hiểm trong Chrome V8
  • Bản vá khẩn cho Chrome, xử lý ba lỗ hổng nghiêm trọng trong WebGPU và V8 Engine
  • Hacker khai thác lỗ hổng zero-day Chrome trong chiến dịch gián điệp “ForumTroll”
  • Domain‑fronting mới lợi dụng Google Meet, YouTube, Chrome và GCP để che giấu kênh C2
  • “Phantom Extensions”: Khi trình duyệt Chrome và Edge trở thành cửa ngõ rò rỉ dữ liệu
  • Google Chrome vá ba lỗ hổng nghiêm trọng, nguy cơ rò rỉ dữ liệu và crash hệ thống
    • Thẻ
    cve-2025-14765 cve-2025-14766 google
    Bên trên