Google phát hành bản vá khẩn cấp cho lỗ hổng nghiêm trọng trên trình duyệt Chrome

Theo Cơ sở dữ liệu lỗ hổng quốc gia Mỹ (NVD), lỗi này xuất phát từ việc xác thực không đầy đủ dữ liệu đầu vào không đáng tin cậy, cho phép tin tặc từ xa có thể vượt ra ngoài môi trường sandbox thông qua một trang HTML được thiết kế đặc biệt.

 Google phát hành bản cập nhật Chrome quan trọng để khắc phục lỗ hổng CVE-2025-6558 đang hoạt động

ANGLE, viết tắt của “Almost Native Graphics Layer Engine”, là lớp chuyển đổi giữa công cụ hiển thị của Chrome và trình điều khiển đồ họa thiết bị. Lỗ hổng trong mô-đun này có thể bị lợi dụng để thực hiện các thao tác cấp thấp với GPU vốn thường được tách biệt hoàn toàn khỏi hệ thống từ đó tạo ra con đường hiếm gặp nhưng nguy hiểm để xâm nhập sâu hơn vào thiết bị.

Với người dùng thông thường, chỉ cần truy cập vào một trang web độc hại là đủ để trình duyệt bị vượt sandbox và tương tác với hệ thống bên dưới. Điều này đặc biệt đáng lo ngại trong các cuộc tấn công có chủ đích, nơi việc mở trang web cũng có thể dẫn đến lây nhiễm âm thầm mà không cần nhấp chuột hay tải về tệp tin.

Lỗ hổng CVE-2025-6558 do hai chuyên gia bảo mật Clément Lecigne và Vlad Stolyarov thuộc Nhóm phân tích mối đe dọa Google (TAG) phát hiện và báo cáo vào ngày 23/6/2025. Dù Google không công bố chi tiết về cách thức khai thác, nhưng việc TAG phát hiện ra lỗi này cho thấy khả năng cao có sự tham gia của các tổ chức tin tặc do quốc gia hậu thuẫn.

Trước đó hai tuần, Google cũng đã xử lý một lỗ hổng nghiêm trọng khác – CVE-2025-6554 (CVSS 8.1), cũng do Lecigne báo cáo. Từ đầu năm đến nay, Google đã khắc phục tổng cộng 5 lỗ hổng zero-day trên Chrome từng bị khai thác hoặc chứng minh có khả năng khai thác, gồm: CVE-2025-2783, CVE-2025-4664, CVE-2025-5419, CVE-2025-6554 và CVE-2025-6558.

Để đảm bảo an toàn, người dùng được khuyến cáo cập nhật Chrome lên phiên bản 138.0.7204.157 hoặc 138.0.7204.158 trên Windows và macOS, và phiên bản 138.0.7204.157 trên Linux. Người dùng có thể kiểm tra bản cập nhật bằng cách truy cập Chrome > Trợ giúp > Giới thiệu về Google Chrome, sau đó chọn “Khởi động lại”.

Các trình duyệt sử dụng nhân Chromium như Microsoft Edge, Brave, Opera và Vivaldi cũng được khuyến nghị cập nhật ngay khi bản vá tương ứng được phát hành.

Những lỗ hổng dạng này thường thuộc nhóm lỗi vượt sandbox GPU, lỗi liên quan đến shader hoặc WebGL dù không quá nổi bật nhưng lại thường xuất hiện trong các chuỗi khai thác phức tạp, đặc biệt trong các cuộc tấn công nhắm mục tiêu. Người dùng và các quản trị viên hệ thống nên tiếp tục theo dõi các cập nhật bảo mật liên quan đến GPU, trình điều khiển đồ họa, và lỗi bộ nhớ trong quá trình hiển thị để phòng tránh rủi ro tiềm ẩn.

Duy Trinh (The Hacker News)