Google Chrome đã vá lỗi GPU zero-day bị khai thác trong thực tế

Trang chủTin tức* Google đã phát hành bản vá cho sáu lỗ hổng bảo mật trong Chrome, bao gồm một lỗ hổng zero-day nghiêm trọng đang bị khai thác tích cực.

• Vấn đề nghiêm trọng cao, CVE-2025-6558, cho phép kẻ tấn công vượt qua các biện pháp bảo vệ trình duyệt thông qua một lỗi trong các thành phần ANGLE và GPU.
• Lỗ hổng này có thể dẫn đến "thoát khỏi Sandbox," cho phép các kẻ tấn công từ xa truy cập vào hệ thống của người dùng thông qua một trang web độc hại.
• Các nhà nghiên cứu từ Nhóm Phân tích Mối đe dọa của Google đã xác định lỗ hổng, và các báo cáo cho thấy có thể có sự tham gia của các diễn viên quốc gia.
• Người dùng được khuyên nên cập nhật Chrome và các trình duyệt dựa trên Chromium ngay lập tức để được bảo vệ. Vào ngày 16 tháng 7 năm 2025, Google đã phát hành các bản cập nhật bảo mật cho trình duyệt web Chrome của mình để khắc phục sáu lỗ hổng, trong đó một lỗ hổng đã bị kẻ tấn công khai thác. Lỗ hổng nghiêm trọng nhất, được theo dõi với mã CVE-2025-6558, ảnh hưởng đến cách trình duyệt xử lý các thao tác đồ họa và có thể cho phép kẻ tấn công vượt qua các biện pháp bảo vệ của Chrome.

• Quảng cáo - Theo Cơ sở Dữ liệu Lỗ hổng Quốc gia, "Việc xác thực không đầy đủ của đầu vào không đáng tin cậy trong ANGLE và GPU trong Google Chrome trước phiên bản 138.0.7204.157 cho phép một kẻ tấn công từ xa có khả năng thực hiện một cuộc tấn công thoát sandbox thông qua một trang HTML được chế tạo." Lỗi này được báo cáo lần đầu tiên bởi Clément Lecigne và Vlad Stolyarov của Nhóm Phân tích Mối đe dọa của Google (TAG) vào ngày 23 tháng 6 năm 2025.

Công cụ ANGLE (Almost Native Graphics Layer Engine) hoạt động như một cầu nối giữa các quy trình kết xuất của Chrome và các trình điều khiển đồ họa của máy tính. Lỗ hổng này cho phép kẻ tấn công sử dụng một trang web được chế tạo đặc biệt để thoát khỏi môi trường hạn chế của trình duyệt. “Một lỗ hổng cho CVE-2025-6558 tồn tại trong tự nhiên,” Google đã xác nhận trong một bài viết chính thức, gợi ý rằng có thể có sự nhắm mục tiêu bởi các kẻ tấn công tinh vi.

Công ty đã giải quyết một lỗ hổng zero-day tương tự, CVE-2025-6554, hai tuần trước, cũng được báo cáo bởi Lecigne. Tổng cộng, Google đã vá năm lỗ hổng zero-day trong Chrome tính đến thời điểm này trong năm, bao gồm CVE-2025-2783, CVE-2025-4664, CVE-2025-5419 và CVE-2025-6554.

Google khuyên người dùng cập nhật trình duyệt của họ lên các phiên bản 138.0.7204.157 hoặc .158 cho Windows và macOS, và 138.0.7204.157 cho Linux. Người dùng nên vào Thêm > Trợ giúp > Giới thiệu về Google Chrome và chọn Khởi động lại để đảm bảo các bản cập nhật mới nhất được cài đặt. Các bản sửa lỗi cũng áp dụng cho các trình duyệt dựa trên Chromium khác, như Microsoft Edge, Brave, Opera, và Vivaldi khi có bản cập nhật.

Các chuyên gia an ninh cảnh báo rằng các lỗ hổng trong các thành phần đồ họa của trình duyệt thường tái xuất hiện trong các cuộc tấn công nhắm mục tiêu. Họ khuyên người dùng nên cảnh giác với các bản cập nhật trình duyệt và bản vá bảo mật tiếp theo.

Các bài viết trước:

• Citigroup chuẩn bị ra mắt Citi Stablecoin, nhắm đến dịch vụ lưu ký tiền mã hóa tiếp theo
• Các nhà lãnh đạo Vương quốc Anh đề cập đến stablecoin, thúc giục đổi mới thanh toán tại Mansion House
• Shaurya Dẫn Dắt Nhóm Dữ Liệu Crypto, Đầu Tư Vào Hơn 30 Token DeFi
• Hạ viện Mỹ không thông qua các Đạo luật Crypto Genius, Clarity, và chống CBDC
• Cuộc Nổi Dậy của Đảng Cộng Hòa Hạ Viện Kìm Hãm Các Dự Luật Crypto Được Trump Hỗ Trợ Trong Cuộc Đối Đầu Quan Trọng

• Quảng cáo -