404 Not Found
Writer
Google vừa phát hành phiên bản Chrome 141 để vá tới 21 lỗ hổng bảo mật, trong đó có nhiều lỗi nghiêm trọng có thể bị tin tặc lợi dụng nhằm chiếm quyền điều khiển trình duyệt hoặc khiến hệ thống rơi vào tình trạng bất ổn. Bản cập nhật hiện đã được triển khai cho Windows, Mac và Linux.
Lỗ hổng đáng chú ý nhất là CVE-2025-11205, một lỗi tràn bộ nhớ đệm trong WebGPU. Nếu bị khai thác, lỗi này có thể cho phép kẻ tấn công thực thi mã độc từ xa hoặc làm trình duyệt sập hoàn toàn. Một lỗi tràn bộ nhớ khác, CVE-2025-11206, ảnh hưởng đến chức năng xử lý video của Chrome. Cả hai đều được đánh giá ở mức nghiêm trọng và có khả năng tác động trực tiếp đến sự ổn định cũng như an toàn của người dùng.
Ngoài ra, bản vá còn khắc phục một số lỗ hổng rò rỉ thông tin ở mức trung bình, trong đó có CVE-2025-11207 liên quan đến hệ thống lưu trữ của Chrome. Kẻ tấn công có thể khai thác các kỹ thuật tấn công kênh kề để đánh cắp dữ liệu nhạy cảm. Một số lỗi triển khai không chuẩn khác cũng được xử lý, bao gồm các vấn đề trong hệ thống Media và thanh địa chỉ Omnibox, có thể bị lợi dụng để thay đổi hành vi trình duyệt hoặc truy cập những chức năng ngoài ý muốn.
Đáng chú ý, Google cũng khắc phục các lỗi nghiêm trọng trong công cụ V8 JavaScript, bao gồm CVE-2025-11215 (sai lệch bộ đếm) và CVE-2025-11219 (use-after-free). Những lỗ hổng này có thể bị lợi dụng thông qua nội dung web độc hại để thực thi mã trái phép. Đặc biệt, chúng được phát hiện bởi hệ thống trí tuệ nhân tạo Big Sleep do chính Google phát triển, minh chứng cho nỗ lực ứng dụng AI trong việc phát hiện sớm lỗ hổng.
Google cho biết đã chi trả hơn 50.000 USD tiền thưởng cho các nhà nghiên cứu bảo mật đóng góp báo cáo, trong đó khoản thưởng cao nhất là 25.000 USD cho lỗi WebGPU. Tuy nhiên, chi tiết kỹ thuật về các lỗ hổng vẫn sẽ được giữ kín cho đến khi phần lớn người dùng hoàn tất việc cập nhật, nhằm ngăn chặn nguy cơ bị khai thác sớm.
Phiên bản Chrome 141.0.7390.54 cho Linux và 141.0.7390.54/55 cho Windows và Mac đã sẵn sàng thông qua cơ chế cập nhật tự động. Người dùng được khuyến nghị kiểm tra thủ công trong phần cài đặt nếu cần, để đảm bảo trình duyệt luôn ở trạng thái an toàn trước các mối đe dọa tiềm tàng.
Lỗ hổng đáng chú ý nhất là CVE-2025-11205, một lỗi tràn bộ nhớ đệm trong WebGPU. Nếu bị khai thác, lỗi này có thể cho phép kẻ tấn công thực thi mã độc từ xa hoặc làm trình duyệt sập hoàn toàn. Một lỗi tràn bộ nhớ khác, CVE-2025-11206, ảnh hưởng đến chức năng xử lý video của Chrome. Cả hai đều được đánh giá ở mức nghiêm trọng và có khả năng tác động trực tiếp đến sự ổn định cũng như an toàn của người dùng.
Ngoài ra, bản vá còn khắc phục một số lỗ hổng rò rỉ thông tin ở mức trung bình, trong đó có CVE-2025-11207 liên quan đến hệ thống lưu trữ của Chrome. Kẻ tấn công có thể khai thác các kỹ thuật tấn công kênh kề để đánh cắp dữ liệu nhạy cảm. Một số lỗi triển khai không chuẩn khác cũng được xử lý, bao gồm các vấn đề trong hệ thống Media và thanh địa chỉ Omnibox, có thể bị lợi dụng để thay đổi hành vi trình duyệt hoặc truy cập những chức năng ngoài ý muốn.
Đáng chú ý, Google cũng khắc phục các lỗi nghiêm trọng trong công cụ V8 JavaScript, bao gồm CVE-2025-11215 (sai lệch bộ đếm) và CVE-2025-11219 (use-after-free). Những lỗ hổng này có thể bị lợi dụng thông qua nội dung web độc hại để thực thi mã trái phép. Đặc biệt, chúng được phát hiện bởi hệ thống trí tuệ nhân tạo Big Sleep do chính Google phát triển, minh chứng cho nỗ lực ứng dụng AI trong việc phát hiện sớm lỗ hổng.
Google cho biết đã chi trả hơn 50.000 USD tiền thưởng cho các nhà nghiên cứu bảo mật đóng góp báo cáo, trong đó khoản thưởng cao nhất là 25.000 USD cho lỗi WebGPU. Tuy nhiên, chi tiết kỹ thuật về các lỗ hổng vẫn sẽ được giữ kín cho đến khi phần lớn người dùng hoàn tất việc cập nhật, nhằm ngăn chặn nguy cơ bị khai thác sớm.
Phiên bản Chrome 141.0.7390.54 cho Linux và 141.0.7390.54/55 cho Windows và Mac đã sẵn sàng thông qua cơ chế cập nhật tự động. Người dùng được khuyến nghị kiểm tra thủ công trong phần cài đặt nếu cần, để đảm bảo trình duyệt luôn ở trạng thái an toàn trước các mối đe dọa tiềm tàng.
WhiteHat
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview