Google cảnh báo lỗ hổng nghiêm trọng trên Chrome: Người dùng Windows cần cập nhật ngay

Trong thông báo phát hành ngày 2/4, Google xác nhận đang có khai thác thực tế lỗ hổng có mã CVE-2025-2783. Đây là một lỗ hổng “zero-day” – tức là lỗ hổng chưa từng được công bố trước đó và chưa có bản vá tại thời điểm bị phát hiện. Phiên bản Chrome mới nhất dành cho Windows (134.0.6998.177/.178) đã được phát hành để khắc phục lỗ hổng này. Người dùng có thể chủ động kiểm tra và cập nhật trình duyệt, sau đó khởi động lại để đảm bảo bản vá được áp dụng hoàn chỉnh.

Ứng dụng trình duyệt của Google bị tin tặc tấn công.

Cảnh báo từ Google được đưa ra sau khi hãng bảo mật Kaspersky phát hiện một chiến dịch tấn công mạng “rất tinh vi” nhắm vào người dùng tại Nga. Theo các nhà nghiên cứu, nạn nhân chỉ cần bấm vào một đường link trong email được cá nhân hoá – ngay lập tức trình duyệt Chrome mở lên và mã độc đã được cài đặt mà không cần thêm bất kỳ hành động nào từ phía người dùng. Điều đáng lo ngại là mã khai thác có thể vượt qua cơ chế bảo vệ sandbox – vốn được coi là tuyến phòng thủ quan trọng nhất của Chrome. Kaspersky cho biết, họ đã phải mất thời gian dài phân tích ngược mã độc mới xác định được nguyên nhân nằm ở một lỗi logic xảy ra tại điểm giao giữa cơ chế sandbox của Chrome và hệ điều hành Windows.

Theo nhận định ban đầu, các cuộc tấn công nhiều khả năng mang mục đích gián điệp, nhắm vào cơ quan chính phủ, tổ chức giáo dục và truyền thông. Các bằng chứng kỹ thuật cho thấy thủ phạm có thể là một nhóm tấn công mạng có liên quan đến chính phủ – hay còn gọi là APT (Advanced Persistent Threat).

Kaspersky cho biết họ đã phát hiện ra mã khai thác đầu tiên – cho phép lây nhiễm – nhưng chưa thu thập được phần thứ hai của cuộc tấn công: mã thực thi từ xa (remote code execution). Phần thứ hai này có thể sẽ được tái sử dụng trong các đợt tấn công tiếp theo nếu không bị phát hiện và xử lý kịp thời.

Đáng chú ý, các chuyên gia bảo mật cũng đưa ra cảnh báo về sự gia tăng của các cuộc tấn công mạng có sự hỗ trợ của trí tuệ nhân tạo (AI). Những email giả mạo giờ đây được cá nhân hóa đến mức vượt qua được các bộ lọc spam thông thường. Điều này khiến hành vi nhấp chuột vào đường link trở thành điểm yếu chí mạng – là mắt xích con người trong chuỗi bảo mật.

Việc khai thác lỗ hổng CVE-2025-2783 là minh chứng rõ nét cho xu hướng này: tấn công tinh vi, khó phát hiện và chỉ cần một sơ suất nhỏ từ phía người dùng là đủ để tin tặc chiếm quyền kiểm soát.

Google đã “chạy đua với thời gian” để tung ra bản vá chỉ vài ngày sau khi nhận được báo cáo từ Kaspersky. Tuy nhiên, phần việc còn lại phụ thuộc hoàn toàn vào người dùng.

Trước đợt tấn công này các chuyên gia cảnh báo, người dùng cần cập nhật Chrome ngay lập tức bằng việc mở trình duyệt, vào Cài đặt > Giới thiệu về Chrome để kiểm tra phiên bản và cập nhật nếu cần; Khởi động lại trình duyệt đảm bảo bản vá được kích hoạt; Không bấm vào các đường link trong email lạ, kể cả khi email có vẻ hợp lệ và được viết rất “chuyên nghiệp”; Tăng cường kiểm tra bảo mật nội bộ, đặc biệt tại các cơ quan chính phủ, trường đại học và tổ chức truyền thông.

Sự việc lần này không chỉ là một cảnh báo về một lỗ hổng cụ thể, mà còn là minh chứng cho thực tế, trong thời đại số, mọi thiết bị, phần mềm và hành vi người dùng đều có thể trở thành mục tiêu tấn công. Dù là hãng công nghệ lớn như Google hay những hệ thống được bảo vệ tốt nhất, vẫn có thể bị khai thác nếu không hành động kịp thời.

Cập nhật phần mềm và duy trì ý thức bảo mật không còn là tùy chọn mà là yêu cầu bắt buộc trong thời đại các cuộc tấn công mạng ngày càng tinh vi, khó lường và có thể gây hậu quả nặng nề. Đây là lúc người dùng không chỉ trông chờ vào các bản vá, mà cần chủ động phòng ngừa và hành động nhanh chóng để tự bảo vệ mình và tổ chức khỏi những rủi ro ngày càng gia tăng.

Duy Trinh (theo Forbes)