Cảnh báo CVE mới nhất từ Chrome cho thấy trình duyệt này vừa nhận một đợt cập nhật bảo mật khẩn cấp để xử lý 16 lỗ hổng CVE, trong đó có 2 lỗi Critical có thể dẫn đến remote code execution trên hệ thống bị ảnh hưởng.
Bản phát hành Stable đã được nâng lên 148.0.7778.178/179 cho Windows và Mac, cùng 148.0.7778.178 cho Linux. Quá trình triển khai dự kiến hoàn tất trong vài ngày tới, vì vậy người dùng và quản trị viên cần theo dõi update vá lỗi ngay khi gói cập nhật xuất hiện trên thiết bị.
Lỗ hổng CVE nghiêm trọng trong Chrome
Hai lỗ hổng có mức độ nghiêm trọng cao nhất đều được Google báo cáo nội bộ vào ngày 20/04/2026. Đây là nhóm lỗ hổng CVE đặc biệt rủi ro vì có thể bị kết hợp với các kỹ thuật khai thác khác để làm tăng mức độ kiểm soát lên toàn bộ tiến trình trình duyệt hoặc hệ thống.
Use-after-free là một trong các dạng lỗi nguy hiểm nhất trong nhóm này. Khi bộ nhớ đã giải phóng vẫn bị tham chiếu hoặc thao tác lại, kẻ tấn công có thể can thiệp vào vùng nhớ đó và tạo điều kiện cho chiếm quyền điều khiển nếu khai thác thành công trong chuỗi tấn công.
Hai CVE Critical
- 2 lỗ hổng Critical được Google ghi nhận là lỗi nội bộ, không công bố chi tiết ngay trong thời gian triển khai bản vá.
- Các lỗi này được xếp cùng nhóm cảnh báo CVE có nguy cơ cao nhất trong đợt phát hành lần này.
- Thông tin khai thác chi tiết tiếp tục bị hạn chế để giảm rủi ro trong giai đoạn rollout.
Các lỗ hổng CVE mức High và Medium
Ngoài hai lỗi Critical, Google đã vá thêm 9 lỗ hổng High trải rộng trên nhiều thành phần của Chrome. Đây vẫn là nhóm lỗ hổng CVE có thể gây ra nguy cơ bảo mật đáng kể nếu hệ thống chưa được cập nhật.
Hai lỗ hổng CVE-2026-9112 và CVE-2026-9113 được tiết lộ có trách nhiệm bởi một nhà nghiên cứu bên ngoài, với tổng tiền thưởng bug bounty là 14.000 USD. Thông tin này cho thấy quy trình phối hợp công bố và vá lỗi đã được thực hiện theo hướng giảm thiểu mối đe dọa từ khai thác công khai.
Google cũng vá thêm 5 lỗ hổng Medium, gồm:
- CVE-2026-9121 và CVE-2026-9122: Out-of-bounds read trong GPU.
- CVE-2026-9123: Heap buffer overflow trong Chromecast.
- CVE-2026-9124: Insufficient input validation.
- CVE-2026-9126: Use-after-free trong DOM.
Ảnh hưởng hệ thống và rủi ro bảo mật
Với một lỗ hổng CVE thuộc nhóm use-after-free hoặc bộ nhớ ngoài biên, tác động thường xoay quanh lỗi thực thi mã, treo tiến trình, hoặc mở rộng quyền kiểm soát của kẻ tấn công trong cuộc tấn công mạng. Khi được chuỗi hóa với các kỹ thuật khác, các lỗi này có thể dẫn đến hệ thống bị xâm nhập.
Google lưu ý rằng chi tiết bug sẽ tiếp tục bị giữ kín cho đến khi phần lớn người dùng đã nhận bản vá. Cách làm này nhằm hạn chế việc tin tặc tận dụng thông tin kỹ thuật để xây dựng khai thác zero-day trong giai đoạn phát hành.
Người dùng có thể theo dõi thông báo chính thức tại Chrome Releases để kiểm tra trạng thái phát hành và xác nhận bản cập nhật tương ứng với nền tảng của mình.
Khuyến nghị cập nhật bản vá ngay
Đây là một đợt cập nhật bảo mật cần được triển khai sớm vì Chrome là thành phần được sử dụng rộng rãi trong môi trường làm việc và cá nhân. Với các lỗ hổng CVE có thể dẫn đến remote code execution, việc trì hoãn bản vá bảo mật sẽ làm tăng rủi ro bảo mật.
- Kiểm tra phiên bản Chrome hiện tại trên Windows, Mac và Linux.
- Thực hiện update vá lỗi ngay khi bản Stable mới xuất hiện.
- Khởi động lại trình duyệt sau khi cập nhật để áp dụng đầy đủ bản vá.
- Ưu tiên kiểm tra máy trạm có truy cập Internet thường xuyên, do đây là bề mặt tấn công phổ biến.
Danh sách CVE đã được đề cập
- CVE-2026-9112
- CVE-2026-9113
- CVE-2026-9121
- CVE-2026-9122
- CVE-2026-9123
- CVE-2026-9124
- CVE-2026-9126
Đối với quản trị viên hệ thống, việc đồng bộ chính sách cập nhật bản vá trên toàn bộ thiết bị đầu cuối sẽ giúp giảm thiểu nguy cơ phát sinh từ các lỗ hổng CVE đang chờ cập nhật. Trong bối cảnh trình duyệt là điểm tiếp xúc phổ biến nhất với nội dung web, việc trì hoãn an toàn thông tin cho Chrome có thể tạo ra cửa sổ phơi nhiễm đáng kể.
