Lỗ hổng bảo mật này được gán mã định danh CVE-2025-6558 (CVSS: 8.8). Các nhà nghiên cứu tại Nhóm Phân tích mối đe dọa (TAG) của Google đã phát hiện ra lỗ hổng này vào ngày 23/6.
Nguyên nhân dẫn đến lỗ hổng là việc xác thực không đầy đủ dữ liệu đầu vào trong ANGLE và GPU, ảnh hưởng đến các phiên bản Google Chrome trước 138[.]0[.]7204[.]157. Kẻ tấn công khai thác thành công có thể thực hiện thoát khỏi sandbox bằng cách sử dụng một trang HTML được thiết kế đặc biệt.
ANGLE (Almost Native Graphics Layer Engine) là lớp trừu tượng đồ họa nguồn mở được Chrome sử dụng để chuyển đổi các lệnh gọi API OpenGL ES sang Direct3D, Metal, Vulkan và OpenGL. Vì ANGLE xử lý các lệnh GPU từ các nguồn không đáng tin cậy như các trang web sử dụng WebGL, nên các lỗi trong thành phần này có thể gây ra tác động bảo mật nghiêm trọng.
Lỗ hổng CVE-2025-6558 cho phép kẻ tấn công từ xa sử dụng một trang HTML được thiết kế đặc biệt để thực thi mã tùy ý trong quy trình GPU của trình duyệt. Hiện tại, Google chưa cung cấp chi tiết kỹ thuật về cách kích hoạt sự cố này có thể dẫn đến việc thoát khỏi sandbox của trình duyệt.
Google cho biết: “Quyền truy cập thông tin chi tiết về lỗ hổng có thể bị hạn chế cho đến khi phần lớn người dùng cập nhật bản vá lỗi”. Được biết, thành phần sandbox Chrome là cơ chế bảo mật quan trọng giúp cô lập các tiến trình của trình duyệt khỏi hệ điều hành cơ bản, do đó ngăn chặn phần mềm độc hại lây nhiễm ra bên ngoài trình duyệt web để xâm phạm thiết bị.
Vì CVE-2025-6558 có mức độ rủi ro cao và đang bị khai thác, người dùng Chrome được khuyến cáo nên cập nhật lên phiên bản 138[.]0[.]7204[.]157/[.]158 càng sớm càng tốt, tùy thuộc vào hệ điều hành của họ. Người dùng có thể thực hiện việc này bằng cách truy cập chrome://settings/help và chờ quá trình kiểm tra cập nhật hoàn tất. Bản cập nhật sẽ được áp dụng thành công sau khi khởi động lại trình duyệt web.
.png)
Cập nhật trình duyệt Chrome
Ngoài ra, bản vá Chrome hiện tại khắc phục cho 5 lỗ hổng bảo mật khác, đáng chú ý là lỗ hổng nghiêm trọng trong engine V8 (CVE-2025-7656) và lỗ hổng use-after-free trong WebRTC (CVE-2025-7657). Không có lỗ hổng nào trong số này được đánh dấu là đang bị khai thác tích cực.
CVE-2025-6558 là lỗ hổng thứ năm bị khai thác tích cực được phát hiện và khắc phục trong trình duyệt Chrome kể từ đầu năm. Trước đó vào tháng 3, Google đã vá lỗ hổng bảo mật nghiêm trọng CVE-2025-2783, do các nhà nghiên cứu Kaspersky phát hiện. Lỗ hổng này đã bị khai thác trong các cuộc tấn công gián điệp nhắm vào các cơ quan chính phủ và tổ chức truyền thông Nga, nhằm mục đích phát tán phần mềm độc hại.
Hai tháng sau, vào tháng 5, Google đã phát hành một bản cập nhật khác để khắc phục lỗ hổng CVE-2025-4664 trên Chrome, lỗ hổng zero-day này cho phép kẻ tấn công chiếm đoạt tài khoản người dùng nếu khai thác thành công.
Vào tháng 6/2025, công ty đã giải quyết một lỗ hổng nghiêm trọng khác là CVE-2025-5419, một lỗ hổng đọc/ghi ngoài giới hạn trong công cụ JavaScript V8 của Chrome, được hai nhà nghiên cứu Benoît Sevens và Clément Lecigne của Google TAG báo cáo.
Đầu tháng 7/2025, Google cũng đã vá lỗ hổng zero-day thứ tư trong Chrome là CVE-2025-6554, lỗ hổng này cũng nằm trong engine V8, được các nhà nghiên cứu GTAG phát hiện.
