Một lỗ hổng bảo mật nghiêm trọng vừa được phát hiện trên trình duyệt Google Chrome và các trình duyệt dựa trên nhân Chromium, đặt hàng tỷ người dùng trên cả hai nền tảng Windows và Linux vào tình trạng báo động về nguy cơ bị đánh cắp dữ liệu nhạy cảm.
Theo TechRadar, lỗ hổng mang mã định danh CVE-2025-4664 được đánh giá là zero-day - tức chưa có bản vá chính thức tại thời điểm phát hiện - và đã thu hút sự quan tâm đặc biệt từ giới chuyên gia bảo mật toàn cầu.
Các nhà nghiên cứu từ công ty an ninh mạng Wazuh cho biết, điểm nguy hiểm của lỗ hổng này nằm ở khả năng rò rỉ dữ liệu quan trọng như mã xác thực OAuth và định danh phiên đăng nhập (session identifier) mà không cần bất kỳ tương tác nào từ phía người dùng.
Cụ thể, lỗ hổng xuất phát từ thành phần Loader trong trình duyệt Chrome, liên quan đến cách xử lý tiêu đề HTTP Link khi tải các tài nguyên phụ như hình ảnh hoặc đoạn mã script. Khác với nhiều trình duyệt phổ biến hiện nay, Chrome vẫn tuân thủ chỉ thị referrer-policy ngay cả đối với các tài nguyên phụ, tạo điều kiện cho kẻ tấn công chèn các chính sách truy xuất lỏng lẻo như unsafe-url, từ đó làm rò rỉ toàn bộ URL chứa dữ liệu nhạy cảm sang các tên miền của bên thứ ba.
Đại diện Wazuh cho biết, mô-đun Wazuh Vulnerability Detection, kết hợp với dữ liệu từ nền tảng Cyber Threat Intelligence (CTI), có khả năng phát hiện và hỗ trợ khắc phục lỗ hổng này. Trong môi trường kiểm thử, Wazuh đã chứng minh khả năng quét và phát hiện các phiên bản Chrome hoặc Chromium dễ bị khai thác trên hệ điều hành Windows 11 và Debian 11.
Lỗ hổng bảo mật trên Chrome đe dọa an toàn dữ liệu người dùng (Ảnh: SCWorld)
Trước mối đe dọa nghiêm trọng từ lỗ hổng CVE-2025-4664, Google đã nhanh chóng phát hành bản vá khẩn cấp dành cho người dùng Chrome trên hệ điều hành Windows và Gentoo Linux. Người dùng trên hai nền tảng này được khuyến cáo cập nhật trình duyệt ngay lập tức để giảm thiểu nguy cơ bị tấn công.
Tuy nhiên, tình hình trở nên đáng lo ngại hơn đối với người dùng trình duyệt Chromium trên Debian 11, khi tất cả các phiên bản cho đến 120.0.6099.224 đều được xác nhận là vẫn còn tồn tại lỗ hổng và chưa có bản cập nhật vá lỗi nào được phát hành. Các chuyên gia bảo mật khuyến cáo người dùng tạm thời gỡ cài đặt trình duyệt này cho đến khi có phiên bản an toàn thay thế.
Mặc dù Google đã có động thái kịp thời, giới chuyên gia cảnh báo rằng việc chỉ trông chờ vào các bản cập nhật trình duyệt là chưa đủ để đối phó hiệu quả với các mối đe dọa zero-day ngày càng tinh vi. Người dùng cá nhân và doanh nghiệp được khuyến nghị nên triển khai thêm các giải pháp bảo vệ điểm cuối (endpoint protection), kết hợp với phần mềm chống mã độc và diệt virus, nhằm thiết lập một hệ thống phòng thủ nhiều lớp, tăng cường khả năng phát hiện và ngăn chặn các hành vi khai thác lỗ hổng theo thời gian thực.
* Mời quý độc giả theo dõi các chương trình đã phát sóng của Đài Truyền hình Việt Nam trên TV Online và VTVGo!