Lỗ Hổng Zero-Day Trên Chrome Khiến Google Hành Động Khẩn

Trong thế giới mạng không ngừng biến động, các trình duyệt web hiện đại như Google Chrome không chỉ là công cụ truy cập internet mà còn là tuyến đầu trong cuộc chiến chống lại các mối đe dọa an ninh mạng. Với hàng tỷ người dùng mỗi ngày, chỉ cần một lỗ hổng nhỏ cũng có thể mở ra cánh cửa cho các cuộc tấn công quy mô lớn, gây thiệt hại nghiêm trọng cho cả cá nhân lẫn tổ chức. Mới đây, Google đã phát hành một bản vá khẩn cấp nhằm khắc phục lỗ hổng bảo mật nghiêm trọng CVE-2025-6558, đánh dấu sự kiện an ninh mạng đáng chú ý nhất trong quý III năm 2025.

Đây không chỉ là vấn đề kỹ thuật thuần túy mà còn phản ánh những thách thức ngày càng phức tạp trong bảo vệ người dùng trước các kỹ thuật tấn công tinh vi, đặc biệt là các chiến dịch có sự hậu thuẫn từ quốc gia. Bài viết này sẽ phân tích chi tiết bản chất của lỗ hổng, mức độ nghiêm trọng, những tác động tiềm tàng cũng như các khuyến nghị cụ thể giúp người dùng và quản trị viên hệ thống giảm thiểu rủi ro.

1. Lỗ hổng CVE-2025-6558

Theo Cơ sở dữ liệu lỗ hổng quốc gia Mỹ (NVD), lỗ hổng CVE-2025-6558 bắt nguồn từ việc xác thực không đầy đủ dữ liệu đầu vào đến từ các nguồn không đáng tin cậy. Đây là loại lỗi phổ biến trong các ứng dụng web phức tạp nhưng khi xuất hiện trong trình duyệt như Chrome thì mức độ nguy hiểm lại được đẩy lên rất cao.

Cụ thể, lỗi này cho phép kẻ tấn công từ xa gửi đến người dùng một trang HTML đã được thiết kế đặc biệt để vượt qua hệ thống bảo vệ sandbox, cơ chế quan trọng nhất nhằm cô lập các tiến trình web khỏi hệ điều hành. Một khi cơ chế sandbox bị vô hiệu hóa, hacker có thể thực hiện các hành vi nguy hiểm như truy cập vào hệ thống tập tin, can thiệp vào bộ nhớ, ghi dữ liệu trái phép hoặc tải về phần mềm độc hại mà không cần sự cho phép từ người dùng.

Điều đặc biệt đáng chú ý là kẻ tấn công không cần bất kỳ sự tương tác phức tạp nào từ phía người dùng. Chỉ cần truy cập vào một website độc hại là trình duyệt đã có thể bị khai thác mà không cần nhấp chuột hay tải về bất kỳ tệp tin nào. Đây là hình thức tấn công không nhấp chuột (zero-click).

2. Vai trò của ANGLE trong chuỗi tấn công

Một yếu tố kỹ thuật then chốt trong lỗ hổng lần này là sự liên quan đến mô-đun ANGLE, viết tắt của “Almost Native Graphics Layer Engine”. Đây là một lớp trừu tượng quan trọng trong kiến trúc của Chrome, đóng vai trò chuyển đổi giữa công cụ hiển thị của trình duyệt và trình điều khiển đồ họa của thiết bị.

ANGLE giúp Chrome tương thích với nhiều loại GPU và hệ điều hành khác nhau bằng cách chuyển đổi các lệnh đồ họa OpenGL sang Direct3D hoặc Metal tùy theo nền tảng. Tuy nhiên, chính vì nằm giữa giao diện trình duyệt và phần cứng, ANGLE cũng trở thành một điểm tấn công lý tưởng nếu bị khai thác.

Lỗ hổng trong ANGLE có thể bị lợi dụng để thực hiện các thao tác cấp thấp với GPU vốn là phần cứng thường được tách biệt với hệ thống nhằm tránh rò rỉ dữ liệu hoặc bị chiếm quyền điều khiển. Nếu kẻ tấn công có thể vượt qua lớp bảo vệ này, họ có thể tương tác trực tiếp với GPU và khai thác các lỗi trong trình điều khiển để leo thang đặc quyền, từ đó giành quyền kiểm soát thiết bị ở cấp hệ điều hành.

Đây là con đường khai thác không phổ biến nhưng cực kỳ nguy hiểm, đặc biệt trong các cuộc tấn công nhắm mục tiêu. Nó cho phép vượt khỏi môi trường trình duyệt để tiếp cận sâu hơn vào kiến trúc bảo mật của hệ thống.

3. Người dùng bị ảnh hưởng như thế nào?

Đối với người dùng thông thường, rủi ro lớn nhất đến từ việc vô tình truy cập vào các website đã bị cài cắm mã độc nhằm khai thác lỗ hổng. Điều này có thể xảy ra thông qua email lừa đảo, liên kết rút gọn trên mạng xã hội, quảng cáo độc hại hoặc các trang web giả mạo.

Khi trình duyệt Chrome tải trang HTML chứa mã khai thác, tiến trình render sẽ bị điều hướng theo một chuỗi lệnh đặc biệt để tương tác với ANGLE và qua đó vượt qua sandbox. Trong vài mili giây, hệ thống bảo mật có thể bị vô hiệu hóa và thiết bị bị xâm nhập mà người dùng hoàn toàn không nhận ra.

Các cuộc tấn công có chủ đích thậm chí còn tinh vi hơn. Trong những chiến dịch này, tin tặc có thể gài mã độc vào một trang hoàn toàn hợp pháp nhưng đã bị chiếm quyền điều khiển từ trước. Người dùng truy cập mà không hề nghi ngờ và chỉ sau vài phút, máy tính đã bị lây nhiễm hoặc thiết lập làm điểm trung chuyển dữ liệu.

Khác với các hình thức tấn công dựa vào lỗi logic hay lỗi giao diện, các lỗ hổng vượt sandbox như CVE-2025-6558 thường rất khó phát hiện và ngăn chặn bằng phần mềm chống virus thông thường, do chúng không tải về tệp tin mà chỉ thao tác trong bộ nhớ của trình duyệt.

4. Nguồn gốc phát hiện

CVE-2025-6558 được phát hiện và báo cáo bởi hai chuyên gia bảo mật nổi tiếng Clément Lecigne và Vlad Stolyarov thuộc Nhóm phân tích mối đe dọa (Threat Analysis Group - TAG) của Google. TAG là đơn vị chuyên theo dõi các cuộc tấn công mạng có chủ đích và thường xuyên vạch trần các chiến dịch gián điệp mạng liên quan đến các tổ chức hậu thuẫn bởi chính phủ.

Việc TAG là đơn vị phát hiện ra lỗ hổng lần này làm dấy lên nghi ngờ rằng CVE-2025-6558 không đơn thuần là một lỗi kỹ thuật tình cờ, mà có thể đã bị một nhóm tin tặc khai thác trong thực tế, thậm chí là trong các hoạt động gián điệp hoặc tấn công có chủ đích nhắm vào doanh nghiệp, cơ quan báo chí, tổ chức nhân quyền hoặc cơ sở hạ tầng quan trọng.

Thông tin được công bố cho biết lỗ hổng được báo cáo vào ngày 23/6/2025 và chỉ trong vòng chưa đầy 3 tuần sau đó, Google đã phát hành bản vá. Tốc độ phản ứng nhanh chóng cho thấy mức độ nghiêm trọng của lỗi và khả năng nó đã bị khai thác trong thế giới thực.

5. Chuỗi lỗ hổng zero-day từ đầu năm

CVE-2025-6558 không phải là trường hợp đơn lẻ. Tính từ đầu năm 2025 đến thời điểm hiện tại, Google đã xác nhận tổng cộng 5 lỗ hổng zero-day trong trình duyệt Chrome, bao gồm:

CVE-2025-2783

CVE-2025-4664

CVE-2025-5419

CVE-2025-6554

CVE-2025-6558

Trong đó, CVE-2025-6554 (điểm CVSS 8.1) cũng do Clément Lecigne phát hiện và được xử lý chỉ hai tuần trước khi phát hiện CVE-2025-6558. Chuỗi phát hiện này cho thấy Chrome liên tục là mục tiêu của các nhóm tin tặc chuyên nghiệp, sử dụng các kỹ thuật khai thác tiên tiến để vượt qua hệ thống bảo vệ sandbox và thực hiện các cuộc tấn công khó truy vết.

Điều này đặt ra bài toán lớn không chỉ cho Google mà cho toàn ngành công nghiệp trình duyệt web: làm thế nào để phát hiện sớm hơn vá nhanh hơn và ngăn chặn hiệu quả hơn trước các mối đe dọa ngày càng tinh vi.

6. Hướng dẫn cập nhật và phòng ngừa

Để đảm bảo an toàn, Google khuyến cáo người dùng cập nhật Chrome lên phiên bản 138.0.7204.157 hoặc 138.0.7204.158 trên Windows và macOS và phiên bản 138.0.7204.157 trên Linux. Việc cập nhật này đảm bảo trình duyệt sẽ không còn bị ảnh hưởng bởi lỗ hổng CVE-2025-6558.

Người dùng có thể kiểm tra bản cập nhật bằng cách mở trình duyệt Chrome, chọn menu ba chấm ở góc trên bên phải, vào mục “Trợ giúp”, chọn “Giới thiệu về Google Chrome” và chờ hệ thống tự kiểm tra cập nhật. Nếu có bản mới, chỉ cần khởi động lại trình duyệt để áp dụng bản vá.

Đối với các tổ chức, quản trị viên hệ thống cần sử dụng các công cụ quản lý cập nhật tập trung để đảm bảo mọi thiết bị đều được cập nhật đồng bộ. Trong môi trường doanh nghiệp, một thiết bị chưa cập nhật có thể trở thành mắt xích yếu nhất, tạo điều kiện cho tin tặc xâm nhập vào hệ thống mạng nội bộ.

Ngoài ra, người dùng nên thường xuyên kiểm tra cài đặt bảo mật của trình duyệt, hạn chế mở các tệp HTML đáng ngờ, vô hiệu hóa JavaScript tại các trang không đáng tin và tránh click vào các liên kết từ email hoặc tin nhắn không rõ nguồn gốc.

7. Các trình duyệt liên quan khác

Chrome không phải là trình duyệt duy nhất sử dụng nhân Chromium, nền tảng trình duyệt mã nguồn mở do Google phát triển. Các trình duyệt phổ biến như Microsoft Edge, Brave, Opera và Vivaldi cũng sử dụng lõi này, đồng nghĩa với việc chúng cũng có thể bị ảnh hưởng bởi lỗ hổng CVE-2025-6558.

Google đã thông báo với cộng đồng phát triển Chromium về lỗ hổng và các nhà phát triển của các trình duyệt này đã bắt đầu phát hành các bản vá tương ứng. Người dùng nên theo dõi thông báo chính thức và cập nhật ngay khi có thể.

Theo các chuyên gia tại ESET, Kaspersky và Trend Micro, các lỗ hổng dạng vượt sandbox thông qua GPU như CVE-2025-6558 thường không quá phổ biến nhưng lại đặc biệt nguy hiểm trong chuỗi tấn công có mục tiêu. Chúng thường là một phần trong các khai thác kết hợp (multi-stage exploit) sử dụng nhiều lỗi khác nhau để đạt được toàn quyền kiểm soát hệ thống.

Bên cạnh đó, những lỗi liên quan đến shader, WebGL hoặc driver đồ họa thường không được chú ý bằng các lỗi scripting nhưng thực tế lại đóng vai trò quan trọng trong các cuộc tấn công tinh vi. Vì lý do này, quản trị viên hệ thống được khuyến cáo thường xuyên cập nhật trình điều khiển GPU, theo dõi bản vá từ các nhà sản xuất như NVIDIA, AMD, Intel và cập nhật định kỳ các thư viện đồ họa liên quan.

Bản vá khẩn cấp của Google cho lỗ hổng CVE-2025-6558 là lời nhắc nhở mạnh mẽ về tầm quan trọng của bảo mật trình duyệt trong thời đại số. Khi trình duyệt trở thành cánh cổng chính để người dùng tiếp cận internet, bất kỳ lỗ hổng nào cũng có thể biến thành thảm họa nếu không được phát hiện và xử lý kịp thời.

Không chỉ là trách nhiệm của Google hay các hãng công nghệ, việc giữ cho thiết bị an toàn còn phụ thuộc rất lớn vào thói quen cập nhật và nhận thức bảo mật của người dùng cuối. Trong bối cảnh tội phạm mạng ngày càng tinh vi, cảnh giác và hành động kịp thời là tuyến phòng thủ đầu tiên và cũng là quan trọng nhất.