Google vừa phát hành một bản cập nhật bảo mật khẩn cấp cho trình duyệt Chrome nhằm khắc phục hai lỗ hổng nghiêm trọng thuộc nhóm Type Confusion trong V8 JavaScript engine. Đáng chú ý, một trong hai lỗ hổng là zero-day và đã bị khai thác tích cực trong thực tế, cho phép kẻ tấn công thực thi mã tùy ý chỉ thông qua việc người dùng truy cập vào các trang web độc hại. Đây được đánh giá là mối đe dọa nghiêm trọng, đặc biệt đối với môi trường doanh nghiệp và các hệ thống quan trọng, khi hình thức tấn công drive-by ngày càng tinh vi và khó phát hiện.
Theo thông tin từ Google, lỗ hổng nguy hiểm nhất mang mã CVE-2025-13223, được phát hiện bởi nhóm Threat Analysis Group (TAG) trong quá trình theo dõi các chiến dịch tấn công có chủ đích. Lỗi này xảy ra khi V8 xử lý sai kiểu dữ liệu của một đối tượng, dẫn đến việc hiểu sai vùng nhớ và gây hỏng heap. Trong môi trường trình duyệt, trạng thái này có thể bị lợi dụng để kiểm soát luồng thực thi, từ đó mở đường cho việc thực thi mã tùy ý trên hệ thống của nạn nhân.
Điểm đặc biệt đáng lo ngại là CVE-2025-13223 đã bị khai thác ngoài thực tế. Người dùng chỉ cần truy cập vào một website độc hại được chuẩn bị sẵn là chuỗi khai thác có thể được kích hoạt, mà không cần thực hiện thêm bất kỳ thao tác nào. Chính đặc điểm này khiến lỗ hổng trở nên đặc biệt nguy hiểm, vì nạn nhân rất khó nhận biết mình đang bị tấn công.
Lỗ hổng thứ hai, CVE-2025-13224, cũng thuộc nhóm Type Confusion trong V8 và được đánh giá ở mức nghiêm trọng. Hiện tại chưa có bằng chứng cho thấy lỗi này đã bị khai thác, tuy nhiên với các đặc điểm kỹ thuật tương tự những lỗ hổng từng dẫn đến thực thi mã trong quá khứ, Google vẫn khuyến cáo người dùng cần cập nhật ngay để loại bỏ rủi ro tiềm ẩn.
Để giảm nguy cơ bị khai thác, Google tạm thời chưa công bố chi tiết kỹ thuật của hai lỗ hổng. Đây là biện pháp quen thuộc khi xử lý zero-day, nhằm ngăn chặn việc kẻ tấn công phân tích bản vá để phát triển thêm công cụ khai thác mới. Bản cập nhật hiện được triển khai theo từng đợt, nhưng Google khuyến nghị người dùng chủ động cập nhật thủ công thay vì chờ cơ chế tự động.
Việc liên tục xuất hiện các lỗ hổng Type Confusion trong V8 cho thấy trình duyệt web vẫn là mục tiêu hàng đầu của các nhóm tấn công tinh vi. Trong bối cảnh đó, cập nhật phần mềm kịp thời vẫn là biện pháp phòng vệ đơn giản nhưng hiệu quả nhất để bảo vệ hệ thống trước các mối đe dọa zero-day.
