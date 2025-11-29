(PLO)- Google liên tục vá các lỗ hổng zero day trên Chrome, nhưng mọi bản cập nhật đều sẽ vô nghĩa nếu người dùng không khởi động lại trình duyệt để áp dụng các thay đổi.

Chrome ghi nhận 7 lỗ hổng zero day trong năm 2025

Google từ lâu đã nổi tiếng với tốc độ phản ứng nhanh trước các mối đe dọa an ninh mạng, từ cảnh báo về VPN độc hại cho đến bảo vệ tài khoản Gmail trước các chiến dịch tấn công ngày một tinh vi.

Trong khi nhiều nhóm tội phạm mạng chỉ cần bỏ ra vài chục đô la để mua thông tin đăng nhập người dùng Chrome, Google đã chi đến 11,8 triệu đô la trong năm 2024 để thưởng cho các chuyên gia phát hiện lỗi bảo mật.

Tuy nhiên, những nỗ lực này chỉ phát huy tác dụng khi người dùng cập nhật và khởi động lại trình duyệt. Google có cơ chế cập nhật tự động, nhưng Chrome chỉ kích hoạt lớp vá lỗi sau khi được khởi động lại. Và điều đáng nói là, chỉ trong 11 tháng đầu năm 2025, Google đã xác nhận 7 lỗ hổng zero day, và tất cả đều bị khai thác trong thực tế.

Những lỗ hổng này trải dài từ engine JavaScript V8, hệ thống đồ họa ANGLE cho đến module giao tiếp nội bộ Mojo. Các lỗ hổng đều có mức độ nguy hiểm cao, cho phép kẻ tấn công thực thi mã độc, vượt sandbox hoặc can thiệp sâu vào hệ thống của người dùng thông qua trang web độc hại.

﻿ Người dùng Chrome nên cập nhật và khởi động lại thường xuyên để áp dụng các bản vá lỗi bảo mật.

Những lỗ hổng đã được Google vá trong năm 2025

Dựa trên công bố chính thức của Google, 7 lỗ hổng zero day được xác nhận trong năm 2025 gồm:

CVE-2025-13223: Lỗi nhầm lẫn kiểu trong engine V8, cho phép thực thi mã từ xa. Bản vá phát hành ngày 17 tháng 11.

Lỗi nhầm lẫn kiểu trong engine V8, cho phép thực thi mã từ xa. Bản vá phát hành ngày 17 tháng 11. CVE-2025-10585: Tương tự CVE-2025-13223, cũng là lỗi nhầm lẫn kiểu V8. Bản vá phát hành ngày 17 tháng 9.

Tương tự CVE-2025-13223, cũng là lỗi nhầm lẫn kiểu V8. Bản vá phát hành ngày 17 tháng 9. CVE-2025-6558: Lỗi trong ANGLE và GPU của Chrome, tạo nguy cơ thoát khỏi sandbox. Google vá lỗi ngày 15 tháng 7.

Lỗi trong ANGLE và GPU của Chrome, tạo nguy cơ thoát khỏi sandbox. Google vá lỗi ngày 15 tháng 7. CVE-2025-5419: Lỗi vượt giới hạn trong engine V8, cho phép kẻ tấn công chạy mã độc bằng một trang web được tạo sẵn. Bản vá ngày 3 tháng 6.

Lỗi vượt giới hạn trong engine V8, cho phép kẻ tấn công chạy mã độc bằng một trang web được tạo sẵn. Bản vá ngày 3 tháng 6. CVE-2025-6554: Một lỗi nhầm lẫn kiểu khác trong V8, có thể dẫn đến sập trình duyệt và thực thi mã tùy ý. Google vá ngày 30 tháng 6.

Một lỗi nhầm lẫn kiểu khác trong V8, có thể dẫn đến sập trình duyệt và thực thi mã tùy ý. Google vá ngày 30 tháng 6. CVE-2025-4664: Lỗi thực thi chính sách do Chrome Loader hoạt động không đầy đủ, tạo điều kiện chạy mã trái phép. Bản vá ngày 14 tháng 5.

Lỗi thực thi chính sách do Chrome Loader hoạt động không đầy đủ, tạo điều kiện chạy mã trái phép. Bản vá ngày 14 tháng 5. CVE-2025-2783: Lỗi xử lý trong Mojo, gây nguy cơ thực thi tệp theo ý kẻ tấn công. Google phát hành bản vá ngày 25 tháng 3.

Tất cả lỗ hổng nói trên đều đã bị khai thác trong thực tế, khiến chúng nằm trong nhóm rủi ro cao nhất theo phân loại của các nhà nghiên cứu bảo mật.

Vì sao phải khởi động lại trình duyệt Google Chrome?

Google cho biết Chrome sẽ tự động tải về bản cập nhật bảo mật khi có phiên bản mới. Tuy nhiên, quá trình này không thể kích hoạt hoàn toàn nếu người dùng không khởi động lại trình duyệt.

Nhiều người có thói quen mở hàng chục tab và để Chrome chạy liên tục nhiều ngày, vô tình khiến trình duyệt không bao giờ bật lớp vá lỗi.

Khi đó, dù đang sử dụng phiên bản mới nhất, người dùng vẫn nằm trong nhóm dễ bị tấn công. Đây cũng là lý do các chuyên gia luôn khuyến cáo người dùng cập nhật và để ý thông báo khởi động lại ở góc trên bên phải trình duyệt.

