Cảnh báo: Lỗ hổng CVE Chrome nghiêm trọng cho phép RCE

Google vừa phát hành một bản cập nhật bảo mật khẩn cấp cho người dùng trình duyệt Chrome. Bản cập nhật này nhằm khắc phục một lỗ hổng CVE nguy hiểm thuộc dạng use-after-free, có thể bị các tác nhân độc hại khai thác để thực thi mã độc trên máy tính của nạn nhân.

Phân Tích Kỹ Thuật Lỗ Hổng CVE-2025-11756

Lỗ hổng này được định danh là CVE-2025-11756 và ảnh hưởng đến tính năng Safe Browsing của Chrome. Đội ngũ bảo mật của Google đã xếp hạng đây là một lỗ hổng nghiêm trọng với mức độ ảnh hưởng High.

Lỗi bảo mật mới được phát hiện này đại diện cho một mối đe dọa nghiêm trọng đối với người dùng Chrome trên toàn thế giới. Chi tiết về bản vá có thể được tìm thấy tại Chrome Releases.

Cơ Chế Khai Thác Use-After-Free

Các lỗ hổng use-after-free xảy ra khi một chương trình tiếp tục sử dụng một vùng bộ nhớ đã được giải phóng. Điều này tạo cơ hội cho kẻ tấn công thao túng không gian bộ nhớ đó.

Trong trường hợp của CVE-2025-11756, lỗ hổng này tồn tại trong thành phần Safe Browsing của Chrome. Thành phần này được thiết kế để bảo vệ người dùng khỏi các trang web và tệp tải xuống độc hại.

Nhà nghiên cứu bảo mật “asnine” đã phát hiện và báo cáo lỗ hổng này vào ngày 25 tháng 9 năm 2025. Google đã trao thưởng một khoản tiền đáng kể là 7.000 USD thông qua chương trình Bug Bounty của mình.

Công ty đã ghi nhận đóng góp của nhà nghiên cứu trong việc cải thiện bảo mật của Chrome cho hàng triệu người dùng toàn cầu.

Tác Động và Nguy Cơ Remote Code Execution

Khi bị khai thác thành công, lỗ hổng CVE use-after-free này có thể cho phép kẻ tấn công thực thi mã tùy ý trên hệ thống của nạn nhân. Đây là một hình thức của remote code execution (thực thi mã từ xa).

Điều này đồng nghĩa với việc các tác nhân độc hại có thể cài đặt mã độc, đánh cắp thông tin nhạy cảm hoặc giành quyền truy cập trái phép vào máy tính bị ảnh hưởng.

Vị trí của lỗ hổng trong tính năng Safe Browsing đặc biệt đáng lo ngại. Bởi lẽ, thành phần này thường chạy với các đặc quyền cao để bảo vệ người dùng khỏi các mối đe dọa trực tuyến.

Cập Nhật và Biện Pháp Khắc Phục Lỗ Hổng CVE

Để phản ứng với lỗ hổng CVE nghiêm trọng này, Google đã nhanh chóng phát hành các phiên bản Chrome mới.

• Phiên bản 141.0.7390.107/.108 dành cho hệ điều hành Windows và Mac.
• Phiên bản 141.0.7390.107 dành cho hệ điều hành Linux.

Bản cập nhật bắt đầu được triển khai vào ngày 14 tháng 10 năm 2025 và sẽ tiếp cận tất cả người dùng trong những ngày và tuần tới. Người dùng cần đảm bảo họ đã nhận được bản vá bảo mật này.

Chính Sách Tiết Lộ Bảo Mật Của Google

Google đã áp dụng chính sách tiết lộ bảo mật tiêu chuẩn của mình, hạn chế quyền truy cập vào thông tin chi tiết về lỗi. Điều này được duy trì cho đến khi hầu hết người dùng đã cài đặt bản vá bảo mật.

Cách tiếp cận này giúp ngăn chặn các tác nhân độc hại khai thác lỗ hổng CVE trước khi người dùng kịp tự bảo vệ bằng phiên bản trình duyệt đã cập nhật.

Công Cụ Phát Hiện Lỗi Nội Bộ

Đội ngũ bảo mật của Google đã sử dụng các công cụ phát hiện nâng cao, bao gồm AddressSanitizer, MemorySanitizer và các công nghệ fuzzing khác. Việc này nhằm xác định và ngăn chặn các vấn đề bảo mật tương tự lọt vào các bản phát hành Chrome ổn định.

Khuyến Nghị Nâng Cấp và Tầm Quan Trọng Của Bản Vá Bảo Mật

Người dùng Chrome nên cập nhật trình duyệt của họ ngay lập tức để bảo vệ chống lại lỗ hổng CVE nghiêm trọng này. Đây là biện pháp thiết yếu để tránh nguy cơ remote code execution.

Trình duyệt thường tự động cập nhật. Tuy nhiên, người dùng có thể kiểm tra cập nhật thủ công bằng cách điều hướng đến Settings > About Chrome.

Các tổ chức và người dùng cá nhân trì hoãn việc cập nhật này vẫn phải đối mặt với rủi ro đáng kể từ việc khai thác bởi các tác nhân độc hại nhắm vào lỗ hổng CVE cụ thể này.

Sự cố bảo mật này nhấn mạnh tầm quan trọng liên tục của việc duy trì phần mềm được cập nhật. Đồng thời, nó cũng cho thấy vai trò quý giá của các nhà nghiên cứu bảo mật trong việc xác định các mối đe dọa tiềm tàng trước khi chúng có thể gây ra thiệt hại trên diện rộng thông qua các cuộc tấn công khai thác bản vá bảo mật chưa được áp dụng.