Google vào thứ Hai đã phát hành các bản cập nhật bảo mật cho trình duyệt Chrome của mình để khắc phục hai lỗ hổng bảo mật, trong đó có một lỗ hổng đang bị khai thác tích cực trong thực tế.
Lỗ hổng được đề cập là CVE-2025-13223 (điểm CVSS: 8.8), một lỗ hổng type confusion trong công cụ V8 JavaScript và WebAssembly có thể bị exploit để thực thi mã tùy ý hoặc gây treo chương trình.
"Lỗ hổng Type Confusion trong V8 của Google Chrome trước phiên bản 142.0.7444.175 cho phép kẻ tấn công từ xa có khả năng exploit lỗi hỏng heap thông qua một trang HTML được tạo thủ công," theo mô tả về lỗ hổng này trong Cơ sở Dữ liệu Lỗ hổng Quốc gia (NIST National Vulnerability Database - NVD).
Clément Lecigne thuộc Nhóm Phân tích Mối đe dọa (Threat Analysis Group - TAG) của Google đã được ghi nhận là người đã phát hiện và báo cáo lỗ hổng này vào ngày 12 tháng 11 năm 2025. Google chưa chia sẻ bất kỳ chi tiết nào về kẻ đứng sau các cuộc tấn công, đối tượng có thể bị nhắm mục tiêu hoặc quy mô của những nỗ lực đó.
Tuy nhiên, gã khổng lồ công nghệ này đã xác nhận rằng "exploit cho CVE-2025-13223 đang tồn tại trong thực tế."
Với bản cập nhật mới nhất, Google đã khắc phục bảy lỗ hổng zero-day trong Chrome đã bị exploit tích cực hoặc được chứng minh là một proof-of-concept (PoC) kể từ đầu năm nay. Danh sách này bao gồm CVE-2025-2783, CVE-2025-4664, CVE-2025-5419, CVE-2025-6554, CVE-2025-6558 và CVE-2025-10585.
CVE-2025-13223 cũng là lỗ hổng type confusion bị exploit tích cực thứ ba được phát hiện trong V8 năm nay, sau CVE-2025-6554 và CVE-2025-10585.
Cũng trong bản vá này, Google đã khắc phục một lỗ hổng type confusion khác trong V8 (CVE-2025-13224, điểm CVSS: 8.8) được phát hiện bởi tác nhân trí tuệ nhân tạo (AI) của hãng, Big Sleep.
Để bảo vệ khỏi các mối đe dọa tiềm tàng, người dùng nên cập nhật trình duyệt Chrome của mình lên phiên bản 142.0.7444.175/.176 cho Windows, 142.0.7444.176 cho Apple macOS và 142.0.7444.175 cho Linux. Để đảm bảo các bản cập nhật mới nhất đã được cài đặt, người dùng có thể điều hướng đến Thêm > Trợ giúp > Giới thiệu về Google Chrome và chọn Khởi chạy lại.
Người dùng các trình duyệt dựa trên Chromium khác, chẳng hạn như Microsoft Edge, Brave, Opera và Vivaldi, cũng được khuyến nghị áp dụng các bản sửa lỗi ngay khi chúng có sẵn.
