Trình duyệt Chrome có lỗ hổng, người dùng cần cập nhật ngay lập tức!
Các nhà nghiên cứu bảo mật vừa tìm thấy lỗ hổng nghiêm trọng, yêu cầu người dùng Chrome phải cập nhật càng sớm càng tốt.
Trong thông báo mới nhất, Google xác nhận lỗ hổng bảo mật CVE-2025-4664 đã bị tin tặc khai thác ngoài thực tế và đồng thời phát hành bản cập nhật nhằm khắc phục sự cố. Lỗi này được phát hiện sau khi tài khoản @slonser chia sẻ trên mạng xã hội X về “một kỹ thuật chưa được cộng đồng biết đến rộng rãi”, cho phép kẻ tấn công lợi dụng tham số truy vấn trong URL để truy cập trái phép vào thông tin nhạy cảm.
Đáng lo ngại hơn, kỹ thuật này có thể bị khai thác trong quá trình xác thực OAuth, giúp kẻ tấn công chiếm quyền điều khiển tài khoản nếu đánh lừa người dùng sao chép và dán chuỗi phiên đăng nhập. Hình thức tấn công này đủ khả năng vượt qua cả cơ chế bảo mật hai lớp (2FA), vốn được coi là lớp phòng vệ cuối cùng trong nhiều hệ thống.
Theo mô tả từ Google, nguyên nhân gốc rễ của lỗ hổng xuất phát từ việc thực thi chính sách không đầy đủ trong Loader, một thành phần chịu trách nhiệm xử lý nội dung mỗi khi người dùng truy cập trang web. Điều này đồng nghĩa chỉ cần truy cập một trang có chứa mã độc, người dùng có thể vô tình cấp quyền kiểm soát tài khoản cho kẻ xấu mà không hay biết.
Với việc lỗ hổng đã bị công khai, Google khuyến nghị người dùng nhanh chóng cập nhật trình duyệt Chrome lên phiên bản 136.0.7103.113 hoặc 136.0.7103.114, tùy theo hệ điều hành đang sử dụng.
Người dùng có thể kiểm tra và cài đặt bản cập nhật mới bằng cách truy cập mục “About Google Chrome” trong phần cài đặt, đợi hệ thống tự động tải về, sau đó nhấn “Relaunch” để khởi động lại trình duyệt và áp dụng bản vá.
Bên cạnh việc phát hành bản sửa lỗi, Google cũng đang nghiên cứu các biện pháp tăng cường bảo mật, học hỏi từ cách tiếp cận của Microsoft. Theo chuyên gia @Leopeva64, trình duyệt Chrome hiện đang thử nghiệm tính năng tự động hạ quyền khi khởi động với quyền quản trị viên, tương tự như cơ chế mà Microsoft Edge đã áp dụng trong thời gian gần đây.
Cơ chế hạ quyền này được xem là một lớp bảo vệ quan trọng. Trong trường hợp trình duyệt hoạt động với quyền cao nhất, các phần mềm độc hại tải về qua Chrome sẽ có khả năng xâm nhập sâu vào hệ thống mà không gặp bất kỳ cảnh báo nào từ hệ điều hành.
Trang tin Bleeping Computer đã nhấn mạnh: “Chỉ cần bạn tải xuống và chạy một tệp độc hại bằng Chrome đang hoạt động với quyền admin, hệ điều hành có thể bị kiểm soát hoàn toàn mà không có dấu hiệu cảnh báo nào”.
