"Google biết rằng một lỗ hổng bị khai thác mang mã CVE-2025-6554 đang tồn tại ngoài tự nhiên", nhà cung cấp trình duyệt cho biết trong một khuyến cáo bảo mật được ban hành vào thứ Hai tuần này. Ngày 26/6/2025, Google đã khắc phục sự cố, góp phần giảm thiểu thiệt hại, thay đổi cấu hình được đưa ra kênh Ổn định trên tất cả các nền tảng.

Công ty đã sửa lỗi zero-day cho người dùng trong kênh Máy tính để bàn ổn định, với các phiên bản mới được triển khai trên toàn thế giới cho người dùng Windows (138.0.7204.96/.97), Mac (138.0.7204.92/.93) và Linux (138.0.7204.96) một ngày sau khi sự cố được báo cáo cho Google.

​​​Lỗi này được phát hiện bởi Clément Lecigne thuộc Nhóm phân tích mối đe dọa (TAG) của Google, một nhóm các nhà nghiên cứu bảo mật tập trung vào việc bảo vệ khách hàng của Google khỏi các cuộc tấn công.

TAG của Google thường phát hiện ra các lỗ hổng zero-day do các tác nhân đe dọa triển khai trong các cuộc tấn công có mục tiêu nhằm lây nhiễm phần mềm gián điệp cho những cá nhân có nguy cơ cao, bao gồm các quan chức chính phủ, các nhân vật có tên tuổi trong các lĩnh vực và các nhà báo.

Mặc dù bản cập nhật bảo mật vá CVE-2025-6554 có thể mất nhiều ngày hoặc nhiều tuần để tiếp cận tất cả người dùng, theo Google, nhưng chúng đã có sẵn vào đầu ngày hôm nay.

Những người dùng không muốn cập nhật thủ công cũng có thể dựa vào trình duyệt web của họ để tự động kiểm tra các bản cập nhật mới và cài đặt chúng sau lần khởi chạy tiếp theo.

Lỗi zero-day được khắc phục hôm nay là điểm yếu nhầm lẫn loại nghiêm trọng cao trong công cụ JavaScript Chrome V8. Mặc dù những lỗ hổng như vậy thường dẫn đến sự cố trình duyệt sau khi khai thác thành công bằng cách đọc hoặc ghi bộ nhớ ngoài giới hạn bộ đệm, nhưng kẻ tấn công cũng có thể khai thác chúng để thực thi mã tùy ý trên các thiết bị chưa được vá.

Mặc dù Google tuyên bố rằng lỗ hổng này đã bị khai thác ngoài thực tế, nhưng công ty vẫn chưa chia sẻ thông tin chi tiết kỹ thuật hoặc thông tin bổ sung liên quan đến các cuộc tấn công này.

"Quyền truy cập vào thông tin chi tiết về lỗ hổng và liên kết có thể bị hạn chế cho đến khi phần lớn người dùng được cập nhật bản sửa lỗi. Chúng tôi cũng sẽ duy trì các hạn chế nếu lỗi tồn tại trong thư viện của bên thứ ba mà các dự án khác cũng phụ thuộc vào nhưng vẫn chưa được khắc phục", Google cho biết.

Đây là lỗ hổng zero-day thứ tư của Google Chrome bị khai thác tích cực đã được khắc phục kể từ đầu năm, với ba lỗ hổng khác được vá vào tháng 3, tháng 5 và tháng 6.

Lỗ hổng đầu tiên là thoát khỏi hộp cát có mức độ nghiêm trọng cao (CVE-2025-2783) do Boris Larin và Igor Kuznetsov của Kaspersky báo cáo, đã được sử dụng trong các cuộc tấn công gián điệp nhắm vào các tổ chức chính phủ và phương tiện truyền thông của Nga bằng phần mềm độc hại.

Google đã phát hành một bộ bản cập nhật bảo mật khẩn cấp khác vào tháng 5 để giải quyết lỗ hổng zero-day của Chrome (CVE-2025-4664) có thể cho phép kẻ tấn công chiếm đoạt tài khoản. Một tháng sau, công ty đã giải quyết điểm yếu đọc và ghi ngoài giới hạn trong công cụ JavaScript V8 của Chrome do Benoît Sevens và Clément Lecigne của Google TAG phát hiện.

Năm 2024, Google đã vá tổng cộng 10 lỗ hổng zero-day bị khai thác trong các cuộc tấn công hoặc bị trình diễn trong các cuộc thi hack Pwn2Own.