Cảnh báo về lỗ hổng zero-day nghiêm trọng trên Google Chrome

Các nhà nghiên cứu từ công ty an ninh mạng Wazuh (Mỹ), đơn vị đã phát hiện ra lỗ hổng cho biết, lỗ hổng được gán mã định danh CVE-2025-4664, điểm nguy hiểm của lỗ hổng này nằm ở khả năng rò rỉ dữ liệu quan trọng như mã xác thực OAuth và định danh phiên đăng nhập (session identifier) mà không cần bất kỳ tương tác nào từ phía người dùng.

Cụ thể, lỗ hổng xuất phát từ thành phần Loader trong trình duyệt Chrome, liên quan đến cách xử lý tiêu đề HTTP Link khi tải các tài nguyên thứ cấp như hình ảnh hoặc đoạn mã script. Khác với nhiều trình duyệt phổ biến hiện nay, Chrome vẫn tuân thủ chính sách Referrer-Policy ngay cả đối với các tài nguyên thứ cấp, tạo điều kiện cho kẻ tấn công chèn các chính sách truy xuất lỏng lẻo như unsafe-url, từ đó làm rò rỉ toàn bộ URL chứa dữ liệu nhạy cảm sang các tên miền của bên thứ ba.

Trước mức độ nghiêm trọng của vấn đề, Google đã nhanh chóng hành động bằng việc tung ra bản vá khẩn cấp cho người dùng trình duyệt Chrome trên hệ điều hành Windows và Gentoo Linux. Người dùng trên các nền tảng này được khuyến cáo cập nhật trình duyệt của mình lên phiên bản mới nhất ngay lập tức để tự bảo vệ.

Tuy nhiên, tình hình trở nên đáng lo ngại hơn đối với người dùng trình duyệt Chromium trên Debian 11, khi tất cả các phiên bản cho đến 120.0.6099.224 đều được xác nhận là vẫn còn tồn tại lỗ hổng và chưa có bản cập nhật vá lỗi nào được phát hành. Các chuyên gia bảo mật khuyến cáo người dùng tạm thời gỡ cài đặt trình duyệt này cho đến khi có phiên bản an toàn thay thế.

Với khoảng 3,5 tỷ người dùng, Chrome của Google là trình duyệt web phổ biến nhất trên thế giới. Lượng người dùng khổng lồ cũng là yếu tố thu hút hacker, tội phạm mạng không ngừng tìm kiếm, khai thác lỗi bảo mật trên phần mềm này.

Wazuh cũng cho biết, mô-đun "Wazuh Vulnerability Detection" được hỗ trợ bởi dữ liệu từ dịch vụ tình báo về mối đe dọa mạng (Cyber Threat Intelligence - CTI), có khả năng phát hiện và hỗ trợ giảm thiểu nguy cơ từ lỗ hổng CVE-2025-4664. Trong các thử nghiệm, công cụ này đã chứng minh được khả năng quét và xác định các phiên bản Chrome/Chromium dễ bị ảnh hưởng trên cả Windows 11 và Debian 11.

Mặc dù Google đã có động thái kịp thời, giới chuyên gia cảnh báo rằng việc chỉ trông chờ vào các bản cập nhật trình duyệt là chưa đủ để đối phó hiệu quả với các mối đe dọa zero-day ngày càng tinh vi. Người dùng cá nhân và doanh nghiệp được khuyến nghị nên triển khai thêm các giải pháp bảo vệ điểm cuối (endpoint protection), kết hợp với phần mềm chống mã độc và diệt virus, nhằm thiết lập một hệ thống phòng thủ nhiều lớp, tăng cường khả năng phát hiện và ngăn chặn các hành vi khai thác lỗ hổng theo thời gian thực.