Các bản cập nhật trước đó mà Google triển khai đã khắc phục hai lỗ hổng zero-day bị khai thác, cụ thể là CVE-2025-6558 và CVE-2025-6554. Trong khi đó, bản cập nhật Chrome 138 được công bố vào ngày 22/7 là bản vá thứ ba, kể từ khi phiên bản trình duyệt được nâng cấp lên kênh stable (phiên bản chính thức).

Theo đó, hai lỗ hổng được khắc phục trong bản vá lần này là CVE-2025-8010 và CVE-2025-8011, đây là các lỗ hổng type confusion có mức độ nghiêm trọng cao ảnh hưởng đến công cụ JavaScript V8 của trình duyệt. Google cho biết đã trả phần thưởng 8.000 USD đối với phát hiện lỗ hổng đầu tiên, nhưng vẫn chưa xác định số tiền thưởng cho lỗ hổng còn lại.

Phiên bản Chrome mới nhất hiện đang được phát hành với phiên bản 138[.]0[.]7204[.]168/[.]169 dành cho Windows và macOS, đối với Linux là phiên bản 138[.]0[.]7204[.]168.

Trong một diễn biến khác, Mozilla đã nâng cấp Firefox 141 lên kênh stable với 17 bản vá lỗ hổng bảo mật, giải quyết 06 lỗ hổng nghiêm trọng.

Đầu tiên là lỗ hổng CVE-2025-8027, ảnh hưởng đến công cụ JavaScript của trình duyệt, vốn chỉ ghi một phần giá trị trả về vào ngăn xếp. Lỗ hổng thứ hai với mã định danh CVE-2025-8028 và ảnh hưởng đến kiến trúc arm64. Bốn lỗ hổng nghiêm trọng khác, cụ thể là CVE-2025-8044, CVE-2025-8034, CVE-2025-8040 và CVE-2025-8035, liên quan đến lỗi an toàn bộ nhớ và có thể bị khai thác thực thi mã từ xa.

Firefox 141 cũng giải quyết các lỗ hổng có mức độ nghiêm trọng trung bình và thấp, có thể dẫn đến việc truncate URL, bypass, tải xuống không mong muốn và thực thi mã. Bên cạnh đó, Mozilla cũng phát hành bản cập nhật bảo mật cho Thunderbird và Firefox ESR để khắc phục một số lỗ hổng bảo mật trên các nền tảng này.