Skip to main content
HashnodeFPT IS SecurityFPT IS Security

Command Palette

Search for a command to run...

Lỗ hổng Zero-day thoát sandbox đang bị khai thác trên Google Chrome

Updated
3 min read
Lỗ hổng Zero-day thoát sandbox đang bị khai thác trên Google Chrome
M
Mai Đức Nam Anh
Part of seriesNewsletters

Mới đây, Google đã tung ra bản vá cho một lỗ hổng zero-day mới trong trình duyệt Google Chrome, đang bị tin tặc tích cực khai thác trên không gian mạng.

Thông tin chi tiết

  • Định danh lỗ hổng: CVE-2025-6558

  • Điểm CVSS(3.1): 8.8

  • Mức độ nghiêm trọng: HIGH

  • Mô tả: Lỗi xảy ra do quá trình xác thực không đầy đủ những dữ liệu đầu vào không đáng tin cậy trong ANGLE và GPU trên Google Chrome. Kẻ tấn công có thể lợi dụng điều này thông qua một trang HTML độc hại để thực hiện thoát khỏi sandbox trên trình duyệt, dẫn tới thực thi các mã độc trên máy nạn nhân với các quyền hạn nâng cao hơn.

  • Phiên bản bị ảnh hưởng: Các phiên bản Google Chrome trước phiên bản 138.0.7204.157

ANGLE (Almost Native Graphics Layer Engine) là một thư viện đồ hoạ trung gian được Google Chrome dùng để chuyển đổi các lệnh đồ hoạ WebGL, OpenGL ES API thành các lệnh phù hợp với phần cứng GPU trên từng hệ điều hành như Direct3D, Metal, Vulkan và OpenGL.

Thông thường, khi người dùng truy cập tới một trang web, các dữ liệu từ trang web được gửi tới ANGLE và GPU để xử lý các thành phần đồ hoạ có trong nó. Nếu dữ liệu đầu vào trên được gửi từ các trang web không đáng tin cậy có chứa các mã độc hại, nó có thể khiến Google Chrome bị lỗi và mở ra lỗ hổng để khai thác.

Trên cơ sở đó, tin tặc đã và đang tích cực khai thác mạnh mẽ vào lỗ hổng này thông qua các trang HTML độc hại. Những trang HTML này chứa các đoạn mã khai thác, đóng vai trò là các dữ liệu đầu vào cho ANGLE và GPU xử lý, dẫn tới khả năng vượt khỏi sandbox của Chrome và lây lan các đoạn mã độc hại lên thiết bị của người dùng.

Khuyến nghị & Khắc phục

Trong thông báo của mình, Google khuyến nghị người dùng thực hiện:

  • Cập nhật trình duyệt Chrome lên phiên bản mới nhất: cập nhật lên phiên bản 138.0.7204.157/.158 đối với phiên bản Google Chrome stable dành cho hệ điều hành Windows, macOS hoặc lên phiên bản 138.0.7204.157 đối với phiên bản dành cho Linux..

  • Không truy cập tới các trang web lạ: Ngoài việc cập nhật lên phiên bản mới nhất của phần mềm, người dùng không nên truy cập tới các đường link, trang web lạ, không đáng tin cậy trên mạng. Không tải xuống hoặc cài đặt các tệp tin, phần mềm không rõ nguồn gốc.

  • Sử dụng các giải pháp bảo mật: Cài đặt các phần mềm diệt virus, sao lưu dữ liệu định kỳ hay sử dụng các giải pháp bảo mật nâng cao như giám sát 24/7 nhằm đảm bảo tối đa an toàn cho hệ thống.

Tham khảo

  1. Chrome Releases

  2. NVD - CVE-2025-6558

#threat-intelligence

Comments

Join the discussion

No comments yet. Be the first to comment.

Newsletters

Part 1 of 50

More from this blog

F

FPT IS Security

761 posts

Dedicated to providing insightful articles on cybersecurity threat intelligence, aimed at empowering individuals and organizations to navigate the digital landscape safely.