Chrome trở thành mục tiêu của một lỗ hổng bảo mật nghiêm trọng chưa được tiết lộ

[T-X]

Hôm thứ Tư, Google đã phát hành bản cập nhật bảo mật cho trình duyệt Chrome để khắc phục ba lỗ hổng bảo mật, trong đó có một lỗ hổng mà hãng cho biết đang bị khai thác tích cực trên thực tế.

Lỗ hổng này, được đánh giá là có mức độ nghiêm trọng cao, đang được theo dõi với mã định danh trình theo dõi sự cố Chromium " 466192044 ". Không giống như các thông báo khác, Google đã chọn giữ kín thông tin về mã định danh CVE, thành phần bị ảnh hưởng và bản chất của lỗi.

Tuy nhiên, một bản cập nhật trên GitHub cho ID lỗi Chromium đã tiết lộ rằng vấn đề nằm ở thư viện Almost Native Graphics Layer Engine ( ANGLE ) mã nguồn mở của Google, với thông báo trong bản cập nhật ghi rõ "Metal: Không sử dụng pixelsDepthPitch để xác định kích thước bộ đệm. pixelsDepthPitch dựa trên GL_UNPACK_IMAGE_HEIGHT, có thể nhỏ hơn chiều cao của hình ảnh."

Điều này cho thấy vấn đề có thể là lỗ hổng tràn bộ đệm trong trình kết xuất Metal của ANGLE, được kích hoạt bởi việc định cỡ bộ đệm không chính xác, có thể dẫn đến lỗi hỏng bộ nhớ, sự cố chương trình hoặc thực thi mã tùy ý.

"Google nhận thức được rằng một lỗ hổng bảo mật có tên 466192044 đang tồn tại," công ty cho biết, đồng thời nói thêm rằng "thông tin chi tiết hơn đang được phối hợp."

Đương nhiên, gã khổng lồ công nghệ này cũng không tiết lộ bất kỳ thông tin cụ thể nào về danh tính của kẻ tấn công, đối tượng mục tiêu hoặc quy mô của các vụ việc.

Việc này thường được thực hiện nhằm đảm bảo phần lớn người dùng đã áp dụng các bản vá lỗi và ngăn chặn các đối tượng xấu khác phân tích ngược bản vá để phát triển các lỗ hổng bảo mật của riêng họ.

Với bản cập nhật mới nhất, Google đã khắc phục tám lỗ hổng bảo mật zero-day trong Chrome đã bị khai thác hoặc được chứng minh là bằng chứng khái niệm (PoC) kể từ đầu năm. Danh sách bao gồm CVE-2025-2783, CVE-2025-4664, CVE-2025-5419, CVE-2025-6554, CVE-2025-6558, CVE-2025-10585 và CVE-2025-13223.

Google cũng đã giải quyết hai lỗ hổng bảo mật khác có mức độ nghiêm trọng trung bình:

    CVE-2025-14372 - Lỗi sử dụng bộ nhớ sau khi đã giải phóng trong Trình quản lý mật khẩu
    CVE-2025-14373 - Việc triển khai không phù hợp trong Toolbar

Để phòng ngừa các mối đe dọa tiềm ẩn, bạn nên cập nhật trình duyệt Chrome lên phiên bản 143.0.7499.109/.110 cho Windows và Apple macOS, và 143.0.7499.109 cho Linux. Để đảm bảo các bản cập nhật mới nhất được cài đặt, người dùng có thể vào Thêm > Trợ giúp > Giới thiệu về Google Chrome và chọn Khởi chạy lại.

Người dùng các trình duyệt dựa trên Chromium khác, chẳng hạn như Microsoft Edge, Brave, Opera và Vivaldi, cũng được khuyến cáo nên áp dụng các bản vá lỗi ngay khi chúng có sẵn.