Theo TechRadar, một lỗ hổng zero-day nghiêm trọng vừa được phát hiện trên trình duyệt Google Chrome và các trình duyệt dựa trên Chromium, đặt hàng tỉ người dùng trên cả Windows và Linux trước nguy cơ bị đánh cắp dữ liệu nhạy cảm. Các chuyên gia bảo mật đang gióng lên hồi chuông cảnh báo khẩn cấp về mối đe dọa mang mã định danh CVE-2025-4664 này.
Trình duyệt Chrome chứa lỗ hổng nghiêm trọng
Theo các nhà nghiên cứu từ công ty an ninh mạng Wazuh, lỗ hổng này đặc biệt nguy hiểm vì có khả năng làm rò rỉ thông tin như mã xác thực OAuth hay định danh phiên (session identifier) mà không đòi hỏi bất kỳ tương tác nào từ phía người dùng.
Trình duyệt Chrome chứa lỗ hổng nguy hiểm khiến người dùng dễ bị lộ thông tin
ẢNH: CHỤP MÀN HÌNH THE HACKER NEWS
Điểm yếu được xác định nằm ở thành phần Loader của trình duyệt, cụ thể là cách nó xử lý tiêu đề Link HTTP cho các yêu cầu tài nguyên phụ (như hình ảnh hoặc script). Khác với nhiều trình duyệt khác, Chrome lại ‘ưu ái’ tuân theo referrer-policy ngay cả với tài nguyên phụ, tạo kẽ hở cho kẻ xấu chèn chính sách lỏng lẻo, dẫn đến việc rò rỉ toàn bộ URL chứa dữ liệu nhạy cảm sang tên miền của bên thứ ba.
Wazuh cho biết mô-đun ‘Wazuh Vulnerability Detection’ của họ, kết hợp dữ liệu từ dịch vụ tình báo Cyber Threat Intelligence (CTI), có khả năng phát hiện và hỗ trợ giảm thiểu nguy cơ từ CVE-2025-4664. Trong môi trường thử nghiệm, họ đã chứng minh khả năng quét và xác định các phiên bản Chrome/Chromium dễ bị tổn thương trên Windows 11 và Debian 11.
Đáp lại, Google đã nhanh chóng tung ra bản vá khẩn cấp cho người dùng Chrome trên Windows và Gentoo Linux. Người dùng trên các nền tảng này được khuyến cáo cập nhật trình duyệt ngay lập tức. Tuy nhiên, tình hình lại đáng lo ngại hơn với người dùng Chromium trên Debian 11, khi tất cả phiên bản cho đến 120.0.6099.224 vẫn tồn tại lỗ hổng mà chưa có bản vá. Lời khuyên hiện tại là nên gỡ cài đặt trình duyệt này cho đến khi có phiên bản an toàn.
Dù các bản vá đã được triển khai, các chuyên gia nhấn mạnh rằng việc chỉ dựa vào cập nhật trình duyệt là chưa đủ. Để tự bảo vệ toàn diện trước các mối đe dọa zero-day, người dùng và doanh nghiệp nên trang bị thêm các giải pháp bảo vệ điểm cuối, phần mềm chống mã độc và diệt virus, tạo thành nhiều lớp phòng thủ vững chắc.