Dùng Google Chrome cần chú ý ngay điều này nếu bạn không muốn lộ bí mật
Một lỗ hổng nghiêm trọng vừa được phát hiện trên Google Chrome và trình duyệt Chromium có thể khiến dữ liệu người dùng bị đánh cắp mà không cần tương tác.
Một lỗ hổng bảo mật nghiêm trọng với mã định danh CVE-2025-4664 vừa được phát hiện trên trình duyệt Google Chrome và các trình duyệt sử dụng nhân Chromium, gây lo ngại lớn trong cộng đồng người dùng và giới chuyên gia an ninh mạng. Lỗ hổng này được phân loại là "zero-day" – tức tồn tại mà chưa có bản vá tại thời điểm phát hiện và có khả năng bị khai thác để rò rỉ dữ liệu nhạy cảm mà không cần bất kỳ hành động nào từ người dùng.
Theo TechRadar, lỗ hổng xuất phát từ thành phần Loader của trình duyệt, liên quan đến cách xử lý khi tải các tài nguyên phụ như hình ảnh, tệp mã JavaScript hoặc CSS. Trong khi nhiều trình duyệt đã có biện pháp kiểm soát nghiêm ngặt với referrer-policy, Chrome vẫn tuân thủ các chỉ thị kể cả khi áp dụng cho tài nguyên phụ. Điều này khiến các tên miền độc hại có thể lợi dụng chính sách "unsafe-url" để truy cập toàn bộ đường dẫn URL – bao gồm các thông tin nhạy cảm như token đăng nhập OAuth hoặc định danh phiên truy cập (session ID).
Công ty an ninh mạng Wazuh là đơn vị phát hiện và công bố chi tiết về điểm yếu này. Trong thử nghiệm của mình, Wazuh sử dụng mô-đun phát hiện lỗ hổng tích hợp với nền tảng Cyber Threat Intelligence (CTI) để quét và xác định các phiên bản Chrome và Chromium có nguy cơ bị khai thác, cụ thể là trên các hệ điều hành Windows 11 và Debian 11.
Google phát hành bản vá, nhưng người dùng Chromium vẫn cần thận trọng
Trước mối đe dọa rõ rệt từ CVE-2025-4664, Google đã có phản ứng nhanh chóng bằng cách phát hành bản cập nhật khẩn cấp dành cho người dùng Chrome trên nền tảng Windows và Gentoo Linux. Theo khuyến cáo chính thức, người dùng trên hai hệ điều hành này nên cập nhật trình duyệt ngay lập tức để đảm bảo an toàn cho dữ liệu cá nhân cũng như thông tin đăng nhập.
Tuy nhiên, tình hình với người dùng Chromium – nền tảng mã nguồn mở được sử dụng làm lõi cho nhiều trình duyệt lại đáng lo ngại hơn. Trên Debian 11, các phiên bản Chromium từ trước đến 120.0.6099.224 đều được xác định là vẫn chứa lỗ hổng mà chưa có bản vá chính thức. Giới chuyên gia an ninh khuyến nghị người dùng nên tạm thời gỡ cài đặt Chromium trên hệ điều hành này để tránh bị tấn công trong thời gian chờ bản cập nhật an toàn.
Tăng cường bảo vệ: Không chỉ trông chờ vào cập nhật trình duyệt
Giới chuyên gia bảo mật nhận định rằng việc cập nhật trình duyệt dù quan trọng vẫn chưa đủ để đối phó hiệu quả với các lỗ hổng có tính chất phức tạp và chưa được vá như CVE-2025-4664. Trong thời đại tấn công mạng ngày càng tinh vi, người dùng đặc biệt là các doanh nghiệp cần thiết lập hệ thống phòng thủ nhiều lớp.
Các giải pháp bảo vệ điểm cuối (endpoint protection), phần mềm chống mã độc, tường lửa cá nhân và giám sát truy cập URL theo thời gian thực là những công cụ cần thiết để phát hiện sớm và ngăn chặn hành vi khai thác lỗ hổng. Đặc biệt, các doanh nghiệp nên triển khai chính sách bảo mật toàn diện, bao gồm kiểm tra thường xuyên các trình duyệt, phần mềm, tiện ích mở rộng để đảm bảo không còn tồn tại điểm yếu.