Google gửi thông báo quan trọng đến người dùng Chrome

Google vừa công bố bản cập nhật khẩn cấp nhằm khắc phục lỗ hổng 0-day thứ tư của trình duyệt Chrome, vốn đã bị khai thác trong các cuộc tấn công.

Theo thông báo từ Google, lỗ hổng mang mã CVE-2025-6554 đã được phát hiện và tồn tại ngoài thực tế. Công ty cho biết vấn đề này đã được khắc phục vào ngày 26.6.2025 thông qua một thay đổi cấu hình được triển khai trên kênh ổn định cho tất cả các nền tảng.

Bản cập nhật này đã được phát hành cho người dùng trên kênh Stable Desktop, với các phiên bản mới cho Windows (138.0.7204.96/.97), Mac (138.0.7204.92/.93) và Linux (138.0.7204.96) chỉ một ngày sau khi sự cố được báo cáo.

Lỗi này được phát hiện bởi Clément Lecigne đến từ nhóm phân tích mối đe dọa (TAG) của Google, một nhóm chuyên nghiên cứu bảo mật nhằm bảo vệ người dùng khỏi các cuộc tấn công do chính phủ hậu thuẫn. Google TAG thường xuyên phát hiện các lỗ hổng 0-day do các tác nhân đe dọa được chính phủ hậu thuẫn nhắm vào các cá nhân có nguy cơ cao như chính trị gia đối lập, người bất đồng chính kiến và nhà báo.

Cách cập nhật bản vá mới cho Google Chrome

Mặc dù bản cập nhật bảo mật có thể mất vài ngày hoặc vài tuần để đến tay tất cả người dùng nhưng việc kiểm tra thông tin cập nhật cho thấy bản vá hiện đã đến với phần lớn người dùng. Để cập nhật, người dùng Chrome có thể nhấn vào dấu ba chấm ở góc trên bên phải trình duyệt, chọn Trợ giúp > Giới thiệu về Google Chrome.

Được biết, lỗi 0-day được khắc phục lần này là một lỗi nghiêm trọng trong công cụ JavaScript Chrome V8, có thể dẫn đến việc trình duyệt bị sập hoặc cho phép kẻ tấn công thực thi mã tùy ý trên các thiết bị chưa được vá.

Mặc dù Google xác nhận rằng lỗ hổng này đã bị khai thác, công ty vẫn chưa công bố thông tin chi tiết kỹ thuật hoặc thông tin bổ sung về các cuộc tấn công. Hãng chỉ đề cập rằng "quyền truy cập vào thông tin chi tiết về lỗi và liên kết có thể bị hạn chế cho đến khi phần lớn người dùng được cập nhật bản sửa lỗi".

Đây là lỗ hổng 0-day thứ tư của Google Chrome bị khai thác và được khắc phục trong năm nay. Trước đó ba lỗ hổng khác đã được vá vào tháng 3, tháng 5 và tháng 6. Lỗ hổng đầu tiên là một lỗi thoát khỏi sandbox nghiêm trọng (CVE-2025-2783) do các nhà nghiên cứu từ Kaspersky phát hiện, đã được sử dụng trong các cuộc tấn công gián điệp nhắm vào các tổ chức chính phủ và cơ quan truyền thông của Nga.