Chrome Just Dropped Another Emergency Patch—Are You Still Safe or Already Hacked?
Google vừa tung bản vá khẩn cấp mới cho Chrome—Bạn còn an toàn hay đã bị hack rồi?

Google vừa tung bản cập nhật bảo mật khẩn cấp thứ hai trong tuần cho Chrome, lần này vá lỗi CVE-2025-12036—một lỗ hổng nghiêm trọng trong động cơ V8 JavaScript, cho phép thực thi mã từ xa chỉ bằng việc truy cập trang độc hại. Không cần nhấp chuột, chỉ cần tải trang là có thể bị cài mã độc.
Còn nếu bạn dùng iPhone? Xin lỗi—không có bản vá. Chrome trên iPhone vẫn dùng WebKit, và quy định của Apple ngăn Google tung bản cập nhật bảo mật thực sự. Trong khi đó, Vidar Stealer 2.0 mới hiện đã có thể vượt qua mã hóa AppBound của Chrome để đánh cắp mật khẩu. Bạn không hoang tưởng đâu. Có lẽ bạn nên sợ thật sự rồi.
Lại một lỗ hổng V8 nữa ư? Nghiêm túc đấy à? Động cơ này là nền tảng của web hiện đại, vậy mà Google cứ vá lỗ hổng nghiêm trọng như trò chơi gõ chuột chui. Nếu doanh nghiệp bạn phụ thuộc vào Chrome, bạn hẳn đã phải chạy chính sách cập nhật tự động rồi. Chờ người dùng nhấn 'Khởi động lại' chẳng khác nào đang chờ thảm họa ập đến.
Và đây là câu hỏi trị giá một triệu đô: tại sao tới 400 triệu người lại dùng Chrome trên iOS chứ? Safari nhanh hơn, riêng tư hơn, và thực sự nhận bản cập nhật bảo mật đúng hạn. Việc chọn Chrome ở đây đâu phải sở thích—đó là màn diễn về hiệu năng.
Tôi cá là hai ngày nữa thôi là có người bắt đầu tận dụng lỗ hổng này ngoài đời thật. Bản vá mới đang được triển khai 'trong vài ngày/tuần tới', còn bọn tấn công thì? Họ đọc nhật ký thay đổi trước bữa sáng.
Vừa nãy tôi thấy thông báo cập nhật. Tôi có phải khởi động lại ngay không? Cuộc đua video mèo của tôi đang đến đoạn cao trào đây.
Câu chuyện thật sự ở đây là Vidar Stealer 2.0. Nó không chỉ ăn cắp mật khẩu—nó dùng đa luồng để mở rộng quy mô và các thủ thuật tránh phân tích để né phát hiện. Đây không còn là mã độc; đây là cả một tổ chức tội phạm ngụy trang bằng mã nguồn.
Đúng vậy. Và chúng được bán trên diễn đàn ngầm với hỗ trợ có cam kết SLA. Mô hình mã độc như dịch vụ không còn là khoa học viễn tưởng. Nó đang thực hiện kiểm thử thâm nhập hệ thống ngân hàng bạn dùng.
Khoan đã—điện thoại tôi báo đã cập nhật, nhưng tôi đang dùng Android 9. Liệu tôi vẫn còn nguy cơ bị tấn công?
Đúng vậy. Chrome 138 là phiên bản cuối cùng hỗ trợ Android 8/9. Mọi thiết bị không dùng Android 10 trở lên sẽ không còn nhận bản vá bảo mật. Đã đến lúc nâng cấp thiết bị hoặc chuyển sang trình duyệt khác.