Bản cập nhật bảo mật Chrome mới vá lỗ hổng thực thi mã từ xa nghiêm trọng

Kênh Stable đã được Google cập nhật lên phiên bản 140.0.7339.127/.128 cho Windows, 140.0.7339.132/.133 của Mac và 140.0.7339.127 đối với Linux. Bản cập nhật hiện đang được triển khai và sẽ có sẵn cho tất cả người dùng trong những ngày tới, tiếp nối bản phát hành đầu tiên của Chrome 140 nhằm giải quyết một số vấn đề bảo mật.

Lỗ hổng sử dụng Use-After-Free

Bản cập nhật khắc phục hai lỗ hổng bảo mật lớn, trong đó nghiêm trọng nhất là CVE-2025-10200. Đây là loại lỗ hổng Use-After-Free trong thành phần Serviceworke và được đánh giá nghiêm trọng. Lỗ hổng này xảy ra khi một chương trình cố gắng sử dụng bộ nhớ sau khi đã giải phóng, điều này có thể dẫn đến sự cố, hỏng dữ liệu hoặc trong trường hợp xấu nhất là thực thi mã từ xa.

Kẻ tấn công có thể khai thác lỗ hổng bằng cách tạo một trang web độc hại, khi người dùng truy cập vào, trang web này có thể cho phép kẻ tấn công chạy mã độc trên hệ thống của nạn nhân.

Nhà nghiên cứu bảo mật Looben Yang đã báo cáo lỗ hổng CVE-2025-10200 vào ngày 22/8/2025. Để ghi nhận phát hiện này, Google đã trao giải thưởng lên đến 43.000 USD cho Looben.

Lỗ hổng Mojo mức độ nghiêm trọng cao

Lỗ hổng bảo mật thứ hai được vá trong bản phát hành này là CVE-2025-10201, một lỗ hổng nghiêm trọng được xác định là "Triển khai không phù hợp trong Mojo". Mojo là tập hợp các thư viện runtime được sử dụng cho giao tiếp giữa các tiến trình trong Chromium (dự án nguồn mở hỗ trợ Chrome).

Lỗ hổng này có thể đặc biệt nguy hiểm vì chúng có khả năng xâm phạm Sandbox của trình duyệt, một tính năng bảo mật quan trọng giúp cô lập các quy trình để ngăn chặn các hành vi khai thác ảnh hưởng đến hệ thống. Sahan Fernando và một nhà nghiên cứu ẩn danh đã báo cáo lỗ hổng CVE-2025-10201 vào ngày 18/8/2025. Các nhà nghiên cứu đã được trao giải thưởng 30.000 USD cho những phát hiện của họ.

Google đang dần triển khai bản cập nhật, nhưng người dùng có thể tự kiểm tra và áp dụng bản cập nhật bằng cách điều hướng đến Cài đặt > Giới thiệu về Google Chrome. Trình duyệt sẽ tự động quét phiên bản mới nhất và nhắc người dùng khởi động lại để hoàn tất quá trình cập nhật.