Skip to main content
HashnodeFPT IS SecurityFPT IS Security

Command Palette

Search for a command to run...

Lỗ Hổng Zero-Day Trong Google Chrome (CVE-2025-13223 & CVE-2025-13224)

Updated
7 min read
Lỗ Hổng Zero-Day Trong Google Chrome (CVE-2025-13223 & CVE-2025-13224)
N
Nguyễn Văn Trung
Part of seriesNewsletters

Vào tháng 11 năm 2025, Google đã phát hành bản cập nhật khẩn cấp cho trình duyệt Chrome để vá hai lỗ hổng nghiêm trọng trong động cơ V8 JavaScript và WebAssembly. Các lỗ hổng này, được đánh số CVE-2025-13223 và CVE-2025-13224, đều là các lỗi nhầm lẫn kiểu dữ liệu (type confusion) có thể dẫn đến thực thi mã tùy ý và làm sập chương trình. Đặc biệt, CVE-2025-13223 đang bị khai thác tích cực trong các cuộc tấn công thực tế (in-the-wild), đánh dấu đây là lỗ hổng zero-day thứ bảy trong Chrome năm 2025. Bài phân tích này sẽ làm rõ các khía cạnh kỹ thuật, rủi ro và biện pháp ứng phó, nhằm giúp các tổ chức và người dùng hiểu rõ hơn về mối đe dọa này.

TỔNG QUAN

Các lỗ hổng tập trung vào động cơ V8 – thành phần cốt lõi xử lý mã JavaScript và WebAssembly trong Chrome, chịu trách nhiệm biên dịch và thực thi mã động trên trình duyệt. Đây là hai lỗ hổng type confusion, một loại lỗi phổ biến trong các trình biên dịch JIT (Just-In-Time) như V8, nơi trình duyệt nhầm lẫn giữa các kiểu dữ liệu khác nhau, dẫn đến truy cập bộ nhớ không hợp lệ.

  • CVE-2025-13223:

    • Mô tả kỹ thuật: Lỗi type confusion trong V8, cho phép kẻ tấn công gây ra hỏng hóc heap (heap corruption) bằng cách thao túng cách V8 xử lý các đối tượng JavaScript. Cụ thể, lỗ hổng xảy ra khi V8 không kiểm tra đúng kiểu dữ liệu trong quá trình biên dịch Maglev (một trình tối ưu hóa của V8), dẫn đến đọc/ghi bộ nhớ ngoài giới hạn. Điều này có thể gây crash trình duyệt hoặc thực thi mã độc hại.

    • Điểm CVSS v3.1: 8.8 (Cao) – Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H (Tấn công từ xa, không cần quyền, yêu cầu tương tác người dùng, nhưng có thể gây rò rỉ thông tin, chỉnh sửa và làm hỏng hệ thống cao).

    • Tác động: Kẻ tấn công có thể đạt được thực thi mã tùy ý (arbitrary code execution) trong ngữ cảnh sandbox của Chrome, tiềm ẩn rủi ro leo thang đặc quyền nếu kết hợp với các lỗ hổng khác.

  • CVE-2025-13224:

    • Mô tả kỹ thuật: Tương tự CVE-2025-13223, đây cũng là lỗi type confusion trong V8, nhưng được phát hiện bởi công cụ AI nội bộ của Google tên "Big Sleep". Lỗ hổng liên quan đến việc xử lý không đúng các đối tượng namespace trong module JavaScript, dẫn đến nhầm lẫn kiểu dữ liệu trong trình biên dịch Maglev, gây heap corruption.

    • Điểm CVSS v3.1: 8.8 (Cao) – Vector tương tự CVE-2025-13223.

    • Tác động: Có thể dẫn đến thực thi mã độc hoặc crash, nhưng chưa có báo cáo khai thác thực tế.

Cả hai lỗ hổng đều nằm trong chuỗi các lỗi V8 năm 2025, sau CVE-2025-6554 và CVE-2025-10585, cho thấy V8 đang là mục tiêu nóng của các nhà nghiên cứu và kẻ tấn công.

Kịch Bản Tấn Công Và Khai Thác

Lỗ hổng type confusion trong V8 thường được khai thác qua các cuộc tấn công drive-by download hoặc watering-hole, nơi nạn nhân chỉ cần truy cập một trang web độc hại. Dưới đây là kịch bản điển hình dựa trên phân tích từ Google Threat Analysis Group (TAG):

  1. Giai Đoạn Chuẩn Bị: Kẻ tấn công tạo một trang HTML độc hại chứa mã JavaScript/WebAssembly được thiết kế để kích hoạt lỗi type confusion. Mã này lợi dụng cách V8 biên dịch JIT để tạo ra heap corruption, cho phép ghi đè bộ nhớ (memory overwrite).

  2. Giai Đoạn Khai Thác:

    • Nạn nhân truy cập trang web qua liên kết lừa đảo (phishing) hoặc quảng cáo độc hại (malvertising).

    • Mã JavaScript chạy tự động, gây nhầm lẫn kiểu dữ liệu trong V8 (ví dụ: đối xử một đối tượng số như con trỏ bộ nhớ).

    • Heap corruption cho phép thực thi shellcode tùy ý, như tải payload từ server C2 (Command and Control).

    • Nếu sandbox bị vượt qua (kết hợp với lỗ hổng khác), kẻ tấn công có thể cài đặt malware, đánh cắp dữ liệu (cookie, mật khẩu) hoặc leo thang đặc quyền.

  3. Tác Động Sau Khai Thác: Trong các trường hợp thực tế, như với CVE-2025-13223, kẻ tấn công có thể hijack tài khoản Google, theo dõi hoạt động người dùng hoặc phân phối ransomware. Thời gian khai thác thường dưới 24 giờ sau khi nạn nhân click, với tỷ lệ thành công cao trên các phiên bản Chrome cũ.

Kịch bản này không yêu cầu tương tác phức tạp từ người dùng, chỉ cần "UI:R" (User Interaction: Read – như xem trang web), làm tăng tính nguy hiểm cho người dùng cá nhân và doanh nghiệp.

Tình Trạng Khai Thác Và PoC

Dựa trên dữ liệu từ NVD, Google Security Blog và các nguồn nghiên cứu độc lập:

  • Tình Trạng Khai Thác:

    • CVE-2025-13223 đang bị khai thác tích cực trong các cuộc tấn công thực tế, theo xác nhận của Google. Đây là zero-day thứ ba trong V8 năm 2025 bị weaponized, sau CVE-2025-6554 (tháng 9) và CVE-2025-10585 (tháng 8). Các cuộc tấn công nhắm vào người dùng cá nhân và tổ chức, với dấu hiệu từ Google TAG cho thấy liên quan đến các nhóm APT (Advanced Persistent Threat) như North Korean actors (từ báo cáo zero-day 2025).

    • CVE-2025-13224 chưa có báo cáo khai thác thực tế, chỉ được phát hiện qua AI và vá dự phòng.

  • PoC Trên Mạng:

    • Hiện chưa có PoC công khai cho CVE-2025-13223 hoặc CVE-2025-13224 trên GitHub, Exploit-DB hoặc các diễn đàn như Reddit/HackerOne. Google thường giữ kín exploit để tránh lây lan, nhưng các PoC cho các lỗ hổng V8 tương tự (như CVE-2024-4947) đã xuất hiện nhanh chóng sau vá. Các nhà nghiên cứu như @buptsb và @mistymntncop đã công bố PoC cho các type confusion V8 trước đây, cho thấy rủi ro PoC cho hai CVE này có thể xuất hiện trong vài tuần tới. Không có exploit đầy đủ (full-chain) được chia sẻ, nhưng các phân tích kỹ thuật từ Big Sleep AI gợi ý cách tái tạo heap corruption.

Phiên Bản Bị Ảnh Hưởng Và Phiên Bản Vá Lỗi

  • Phiên Bản Bị Ảnh Hưởng: Tất cả phiên bản Google Chrome trước 142.0.7444.175 trên Windows, macOS và Linux. Điều này bao gồm hầu hết người dùng chưa cập nhật tự động.

  • Phiên Bản Vá Lỗi:

    • Windows: 142.0.7444.175 hoặc 142.0.7444.176.

    • macOS: 142.0.7444.176.

    • Linux: 142.0.7444.175.

Bản vá được phát hành qua kênh Stable Channel, và các trình duyệt dựa trên Chromium (như Microsoft Edge, Brave, Opera) cũng cần cập nhật tương ứng.

Khuyến Nghị

Để giảm thiểu rủi ro, các tổ chức và người dùng nên thực hiện ngay các biện pháp sau:

  1. Cập Nhật Ngay Lập Tức: Kiểm tra và cập nhật Chrome qua chrome://settings/help. Bật tự động cập nhật để tránh bỏ lỡ.

  2. Giám Sát Và Phát Hiện: Sử dụng công cụ EDR (Endpoint Detection and Response) để theo dõi các hành vi bất thường như tải file lạ từ web hoặc heap corruption trong Chrome processes.

  3. Biện Pháp Phòng Thủ:

    • Kích hoạt sandbox và Site Isolation trong Chrome.

    • Sử dụng extension như uBlock Origin để chặn malvertising.

    • Áp dụng nguyên tắc least privilege: Chạy Chrome với tài khoản không admin.

  4. Đối Với Doanh Nghiệp: Triển khai patch management tự động (qua WSUS hoặc MDM), quét lỗ hổng định kỳ bằng công cụ như Nessus, và huấn luyện người dùng tránh click liên kết đáng ngờ.

  5. Theo Dõi: Giám sát các nguồn như Google Security Blog và CISA KEV (Known Exploited Vulnerabilities) để cập nhật exploit mới.

Nguồn Tham Khảo

#chrome-cj73auo4o0012c3wted1yb7a1#threat-intelligence

Comments

Join the discussion

No comments yet. Be the first to comment.

Newsletters

Part 1 of 50

More from this blog

F

FPT IS Security

761 posts

Dedicated to providing insightful articles on cybersecurity threat intelligence, aimed at empowering individuals and organizations to navigate the digital landscape safely.