Google đã phát hành một bản cập nhật bảo mật khẩn cấp cho trình duyệt Chrome, xác nhận rằng hai lỗ hổng zero-day nghiêm trọng đang bị khai thác tích cực trong thực tế. Sự phát triển này nhấn mạnh rủi ro cao đối với người dùng Chrome trên toàn cầu và yêu cầu hành động ngay lập tức.
Thông Báo Cập Nhật Chrome Khẩn Cấp
Kênh ổn định của Google Chrome đã được cập nhật lên phiên bản 146.0.7680.75/76 cho các hệ điều hành Windows và macOS.
Đối với hệ điều hành Linux, phiên bản cập nhật là 146.0.7680.75.
Quá trình triển khai bản vá này dự kiến sẽ đến tay người dùng trong những ngày và tuần tới. Tuy nhiên, do tính chất khai thác tích cực của các lỗ hổng zero-day này, việc cập nhật thủ công là cần thiết cho mọi đối tượng.
Chi Tiết Về Các CVE Nghiêm Trọng Được Khai Thác
Cả hai lỗ hổng bảo mật đã được đội ngũ bảo mật nội bộ của Google báo cáo vào ngày 10 tháng 3 năm 2026.
Chúng đều được xếp hạng mức độ nghiêm trọng Cao (High severity), cho thấy mức độ rủi ro nghiêm trọng và khả năng gây hại đáng kể nếu bị khai thác.
Việc này làm cho các lỗ hổng zero-day này trở thành mối đe dọa trực tiếp đối với an toàn thông tin của người dùng Chrome.
Phân Tích Kỹ Thuật Lỗ Hổng CVE-2026-3909
Lỗi Ghi Ngoài Giới Hạn (Out-of-Bounds Write) trong Skia
Lỗ hổng đầu tiên được theo dõi là CVE-2026-3909.
Đây là một lỗi ghi ngoài giới hạn (out-of-bounds write) nằm trong Skia, một công cụ đồ họa 2D mã nguồn mở quan trọng cung cấp sức mạnh cho pipeline render của Chrome.
Các lỗi ghi ngoài giới hạn đặc biệt nguy hiểm vì chúng cho phép kẻ tấn công ghi đè lên các vùng bộ nhớ liền kề với bộ nhớ đã được cấp phát hợp lệ.
Hậu quả của việc này có thể bao gồm việc thực thi mã tùy ý (arbitrary code execution), gây ra các sự cố treo ứng dụng (application crashes) không mong muốn, hoặc thậm chí là làm hỏng dữ liệu.
Khi bị khai thác trong ngữ cảnh của trình duyệt, lỗ hổng CVE-2026-3909 có thể được sử dụng để vượt qua (escape) các cơ chế bảo vệ sandbox của Chrome.
Điều này cho phép kẻ tấn công thực thi mã độc với các đặc quyền cao hơn, dẫn đến khả năng kiểm soát hệ thống nạn nhân.
Phân Tích Kỹ Thuật Lỗ Hổng CVE-2026-3910
Lỗi Triển Khai Không Phù Hợp trong V8
Lỗ hổng thứ hai, được định danh là CVE-2026-3910, liên quan đến một lỗi triển khai không phù hợp trong V8.
V8 là engine JavaScript và WebAssembly hiệu suất cao của Chrome, đóng vai trò cốt lõi trong việc xử lý các tập lệnh web phức tạp.
Các lỗ hổng trong V8 luôn là mục tiêu hàng đầu của các tác nhân đe dọa do JavaScript được thực thi liên tục trong quá trình duyệt web thông thường.
Điều này tạo ra vô số cơ hội cho việc khai thác. Lỗi này có thể cho phép kẻ tấn công tạo ra một trang web độc hại.
Khi người dùng truy cập trang này, lỗi sẽ được kích hoạt để thực thi mã trong ngữ cảnh của tiến trình trình duyệt, có khả năng dẫn đến việc chiếm quyền điều khiển.
Khả năng khai thác một lỗ hổng zero-day như CVE-2026-3910 thông qua một trang web độc hại là một rủi ro đáng kể.
Xác Nhận Khai Thác Đang Diễn Ra và Hạn Chế Thông Tin
Google đã xác nhận rõ ràng rằng các khai thác cho cả CVE-2026-3909 và CVE-2026-3910 đang tồn tại trong thực tế. Xem thông báo chính thức của Google.
Tình trạng khai thác tích cực này biến đây thành một bản cập nhật cực kỳ quan trọng và yêu cầu hành động khẩn cấp từ phía người dùng cá nhân và tổ chức.
Chi tiết kỹ thuật sâu hơn về các lỗ hổng và các mục theo dõi lỗi liên quan vẫn đang bị hạn chế.
Đây là một thực hành tiêu chuẩn của Google nhằm ngăn chặn việc khai thác thêm trước khi một phần lớn người dùng đã có thời gian áp dụng bản vá bảo mật.
Việc giữ lại thông tin về các lỗ hổng zero-day này là để bảo vệ cộng đồng người dùng rộng lớn hơn.
Khuyến Nghị An Toàn và Cập Nhật Bản Vá Khẩn Cấp
Để giảm thiểu rủi ro từ các lỗ hổng zero-day đang bị khai thác, người dùng và quản trị viên nên cập nhật bản vá Chrome ngay lập tức.
Việc trì hoãn cập nhật có thể khiến hệ thống dễ bị tấn công và gây ra các hậu quả nghiêm trọng về an toàn thông tin.
Để kích hoạt quá trình cập nhật bản vá thủ công:
- Mở trình duyệt Google Chrome của bạn.
- Nhấp vào biểu tượng ba chấm dọc (Menu) ở góc trên bên phải của cửa sổ trình duyệt.
- Di chuột đến mục Trợ giúp, sau đó chọn Giới thiệu về Google Chrome.
- Trình duyệt sẽ tự động kiểm tra, tải xuống và cài đặt bản cập nhật nếu có.
- Sau khi quá trình cập nhật hoàn tất, bạn sẽ được nhắc khởi động lại Chrome để áp dụng các thay đổi.
Đối với các tổ chức đang quản lý triển khai Chrome thông qua các chính sách doanh nghiệp, việc ưu tiên đẩy phiên bản 146.0.7680.75/76 trong toàn bộ môi trường của họ là hết sức cấp bách.
Với tình trạng khai thác tích cực của cả hai lỗ hổng zero-day này, việc chờ đợi bản cập nhật tự động triển khai không được khuyến nghị, đặc biệt đối với các môi trường có rủi ro cao hoặc chứa dữ liệu nhạy cảm.
