Tin bảo mật mới nhất từ Google cho thấy Chrome Stable vừa nhận bản cập nhật lớn, vá 151 lỗ hổng CVE trên Windows, macOS và Linux. Trong số này có 22 lỗ hổng nghiêm trọng, tập trung vào graphics, networking, media và UI.
Cập nhật Chrome Stable và phạm vi ảnh hưởng của lỗ hổng CVE
Chrome Stable đã được nâng lên 148.0.7778.216/217 cho Windows, 148.0.7778.215/216 cho macOS và 148.0.7778.215 cho Linux. Việc phát hành được triển khai theo từng giai đoạn trong những ngày và tuần tiếp theo.
Google công bố danh sách thay đổi đầy đủ giữa các bản dựng 148.0.7778.180 và 148.0.7778.217 trong Chromium source log, nhưng chưa tiết lộ chi tiết lỗi cho đến khi phần lớn người dùng đã nhận được bản vá. Cách công bố theo từng đợt này giúp giảm nguy cơ kẻ tấn công khai thác lỗ hổng CVE trên các hệ thống chưa cập nhật.
Trang tham chiếu phát hành có thể xem tại Chrome Releases Blog.
Lỗ hổng CVE nghiêm trọng trong Chrome
Trong nhóm lỗi được công bố ra ngoài, một số lỗ hổng CVE đáng chú ý gồm:
- CVE-2026-9872: Out-of-bounds write trong GPU process.
- CVE-2026-9873: Use-after-free trong Network.
- CVE-2026-9874: Use-after-free trong Dawn.
- CVE-2026-9875: Out-of-bounds read trong WebGL.
Các lỗi này có thể dẫn đến sandbox escape, remote code execution hoặc data corruption nếu kẻ tấn công dụ nạn nhân mở một trang độc hại. Đây là nhóm lỗ hổng CVE có mức rủi ro cao vì nằm trong các thành phần xử lý nội dung web và đồ họa.
Google cho biết nhiều lỗi đã được phát hiện bởi đội nội bộ và các nhà nghiên cứu bên ngoài trong quá trình phát triển, trước khi chúng đi vào nhánh Stable.
Nhóm lỗi tập trung vào graphics và rendering stack
Phần lớn bản sửa lỗ hổng CVE nghiêm trọng thuộc về graphics và rendering stack, bao gồm ANGLE, Skia, WebGL, Dawn, XR, Bluetooth, UI và hạ tầng lõi của trình duyệt.
Các dạng lỗi được ghi nhận gồm use-after-free, heap buffer overflow, integer overflow và insufficient validation of untrusted input. Đây đều là các điều kiện điển hình có thể được sử dụng để xây dựng exploit đáng tin cậy trong môi trường trình duyệt hiện đại.
Google cũng nhấn mạnh việc sử dụng sanitizers, fuzzers và control-flow integrity để phát hiện memory corruption và undefined behavior ở quy mô lớn. Các công cụ này giúp giảm bề mặt tấn công và bắt lỗi trước khi phát hành chính thức.
Phân bố lỗ hổng CVE theo mức độ
Ngoài nhóm critical, Chrome lần này còn vá một tập lớn lỗi high severity trên các thành phần như DOM, Accessibility, Site Isolation, WebCodecs, PDF/PDFium, WebRTC, Passwords, WebAppInstalls, Media và USB. Nhiều lỗi trong số này là use-after-free, out-of-bounds read/write, race condition và uninitialized memory use.
Google cũng ghi nhận một số lỗi do các nhà nghiên cứu từ nhiều nguồn bên ngoài báo cáo. Mức thưởng bug bounty cho các lỗi được công bố có thể lên đến 43,000 USD cho mỗi báo cáo, tùy mức độ ảnh hưởng và khả năng khai thác.
IOC
Nội dung gốc không cung cấp IOC như hash, domain, IP, URL độc hại hay chỉ báo liên quan đến mã độc. Vì vậy, không có danh sách IOC cần trích xuất.
Rủi ro bảo mật và điều kiện khai thác
Với các lỗ hổng CVE trong engine đồ họa và xử lý nội dung, rủi ro bảo mật chủ yếu đến từ việc trình duyệt xử lý dữ liệu không tin cậy từ trang web độc hại. Trong kịch bản xấu nhất, hệ thống bị xâm nhập có thể dẫn tới thực thi mã từ xa hoặc thoát khỏi cơ chế sandbox.
Google lưu ý rằng một phần chi tiết lỗi vẫn được giữ kín nếu chúng đồng thời ảnh hưởng đến các thư viện bên thứ ba phổ biến nhưng chưa có bản vá riêng. Cách làm này giúp hạn chế việc khai thác đồng thời trên nhiều nền tảng.
Về mặt kỹ thuật, các lỗ hổng CVE dạng use-after-free và out-of-bounds thường là nền tảng cho các chuỗi khai thác trong browser. Khi kết hợp với điều kiện race hoặc kiểm soát input kém, khả năng chiếm quyền điều khiển tiến trình xử lý sẽ tăng lên.
Khuyến nghị cập nhật bản vá
Quản trị viên doanh nghiệp và người dùng cuối nên cập nhật bản vá Chrome lên nhánh 148.0.7778.x ngay khi có sẵn cho nền tảng tương ứng. Đây là biện pháp trực tiếp nhất để giảm nguy cơ bị khai thác các lỗ hổng CVE vừa được vá.
Nếu cần tiếp cận bản sửa sớm hơn, có thể cân nhắc chuyển sang kênh phát hành nhanh hơn. Với môi trường vận hành có kiểm soát thay đổi, việc triển khai nên được thực hiện theo từng nhóm máy để hạn chế gián đoạn.
Google cũng khuyến nghị người phát hiện lỗi mới gửi qua public bug tracker và dùng Chrome community help forum cho các vấn đề liên quan đến cập nhật hoặc triển khai. Với các đội phụ trách an toàn thông tin, nên theo dõi liên tục các đợt phát hành Chrome vì đây là dòng trình duyệt thường xuyên xuất hiện lỗ hổng CVE có thể bị khai thác nhanh sau khi công bố.
Hệ sinh thái kiểm thử và vai trò phát hiện lỗ hổng CVE
Đợt vá này tiếp tục cho thấy vai trò của AddressSanitizer, MemorySanitizer, UndefinedBehaviorSanitizer, Control Flow Integrity, libFuzzer và AFL trong việc phát hiện memory corruption sớm. Các công cụ tự động này giúp giảm số lượng lỗ hổng CVE lọt ra Stable branch.
Khi một trình duyệt có nhiều thành phần phức tạp như Chrome, các lỗi nhỏ trong parsing, rendering hoặc media pipeline đều có thể trở thành điểm tựa cho chuỗi khai thác. Vì vậy, việc duy trì bản vá bảo mật ở tốc độ cao là yêu cầu bắt buộc đối với cả người dùng cá nhân lẫn doanh nghiệp.
# Kiểm tra phiên bản Chrome trên Linux
google-chrome --version
# Cập nhật Chrome trên Debian/Ubuntu
sudo apt update
sudo apt install --only-upgrade google-chrome-stable
# Kiểm tra ChromeOS hoặc bản cài đặt tùy biến
chrome --versionVới các môi trường quản trị tập trung, nên xác nhận phiên bản sau triển khai và theo dõi các máy chưa áp dụng cập nhật bản vá. Điều này đặc biệt quan trọng khi lỗ hổng CVE liên quan tới GPU, WebGL, Network và rendering có thể bị lạm dụng từ nội dung web chỉ sau một lần truy cập.
