3,5 tỷ người dùng Chrome cần cập nhật trình duyệt khẩn cấp

Theo các nhà nghiên cứu từ công ty an ninh mạng Wazuh, đơn vị đã phát hiện ra lỗ hổng, CVE-2025-4664 đặc biệt nguy hiểm bởi khả năng làm rò rỉ các thông tin quan trọng như mã xác thực OAuth hay định danh phiên (session identifier) mà không đòi hỏi bất kỳ tương tác nào từ phía người dùng. Điều này có nghĩa là kẻ tấn công có thể khai thác lỗ hổng mà người dùng không hề hay biết.

Điểm yếu cốt lõi được xác định nằm ở thành phần Loader của trình duyệt, cụ thể là trong cách nó xử lý các tiêu đề Link HTTP đối với những yêu cầu tài nguyên phụ (ví dụ như hình ảnh hoặc các đoạn mã script). Khác với nhiều trình duyệt khác, Chrome lại có xu hướng tuân thủ “referrer-policy” ngay cả với các tài nguyên phụ này. Chính điều đó đã tạo ra một kẽ hở, cho phép kẻ xấu chèn vào một chính sách lỏng lẻo, dẫn đến hậu quả là toàn bộ URL (có khả năng chứa dữ liệu nhạy cảm của người dùng) bị rò rỉ sang một tên miền của bên thứ ba do kẻ tấn công kiểm soát.

Trước mức độ nghiêm trọng của vấn đề, Google đã nhanh chóng hành động bằng việc tung ra bản vá khẩn cấp cho người dùng trình duyệt Chrome trên hệ điều hành Windows và Gentoo Linux. Người dùng trên các nền tảng này được khuyến cáo cập nhật trình duyệt của mình lên phiên bản mới nhất ngay lập tức để tự bảo vệ.

Tuy nhiên, tình hình lại trở nên đáng lo ngại hơn đối với những người dùng trình duyệt Chromium trên Debian 11. Theo thông tin hiện tại, tất cả các phiên bản cho đến 120.0.6099.224 của Chromium trên Debian 11 vẫn tồn tại lỗ hổng CVE-2025-4664 mà chưa nhận được bản vá. Do đó, lời khuyên từ các chuyên gia dành cho người dùng Debian 11 là nên tạm thời gỡ cài đặt trình duyệt Chromium này cho đến khi có một phiên bản an toàn hơn được phát hành.

Với khoảng 3,5 tỷ người dùng, Chrome của Google là trình duyệt web phổ biến nhất trên thế giới. Lượng người dùng khổng lồ cũng là yếu tố thu hút hacker, tội phạm mạng không ngừng tìm kiếm, khai thác lỗi bảo mật trên phần mềm này.

Wazuh cũng cho biết, mô-đun “Wazuh Vulnerability Detection” của họ, được hỗ trợ bởi dữ liệu từ dịch vụ tình báo về mối đe dọa mạng (Cyber Threat Intelligence – CTI), có khả năng phát hiện và hỗ trợ giảm thiểu nguy cơ từ lỗ hổng CVE-2025-4664. Trong các thử nghiệm, công cụ này đã chứng minh được khả năng quét và xác định các phiên bản Chrome/Chromium dễ bị tổn thương trên cả Windows 11 và Debian 11.

Mặc dù các bản vá đã và đang được triển khai, giới chuyên gia nhấn mạnh rằng việc chỉ dựa vào việc cập nhật trình duyệt là chưa đủ để đảm bảo an toàn tuyệt đối. Để tự bảo vệ một cách toàn diện trước các mối đe dọa zero-day tinh vi như CVE-2025-4664, người dùng cá nhân và các doanh nghiệp cần chủ động trang bị thêm các giải pháp bảo vệ điểm cuối (endpoint protection), phần mềm chống mã độc (anti-malware) và diệt virus (antivirus) uy tín. Việc xây dựng một hệ thống phòng thủ đa lớp vững chắc là chìa khóa để giảm thiểu rủi ro và bảo vệ dữ liệu quý giá trong môi trường mạng ngày càng phức tạp.