Vào ngày 14 tháng 5, Google đã phát hành bản cập nhật phiên bản 136.0.7103.113 và 136.0.7103.114 cho trình duyệt Chrome trên máy tính để bàn, chủ yếu để vá lỗ hổng zero-day CVE-2025-4664, vốn đã bị tin tặc khai thác.

Google xếp lỗ hổng này vào diện “mức độ rủi ro cao”, tuy nhiên chỉ tiết lộ sơ lược rằng “chính sách thực thi của thành phần Loader có vấn đề”.

Tuy nhiên, theo chuyên gia bảo mật slonser từ nhóm nghiên cứu Solidlab – người đầu tiên phát hiện ra lỗ hổng – vấn đề thực sự nằm ở chỗ Chrome sẽ phân tích tiêu đề (header) của liên kết khi yêu cầu tải tài nguyên phụ, điều này khiến tin tặc có thể thiết lập chính sách đặc biệt trong phần header để đánh cắp thông tin cá nhân của người dùng.


Dù tổ chức an ninh mạng CISA chỉ đánh giá rủi ro của lỗ hổng này ở mức 4.3 điểm, nhưng đã có ghi nhận việc lỗ hổng bị khai thác trong thực tế, vì vậy các chuyên gia bảo mật khuyến nghị người dùng nên cài đặt bản cập nhật mới càng sớm càng tốt để đảm bảo an toàn.

Ngoài việc vá lỗ hổng CVE-2025-4664, Google đã khắc phục thêm một lỗ hổng khác là CVE-2025-4609, tồn tại trong thành phần Mojo, và cũng được xếp vào mức độ rủi ro cao.