Google đã phát hành bản cập nhật bảo mật cho Chrome, xử lý 28 lỗ hổng, bao gồm một số lỗi nghiêm trọng có thể cho phép kẻ tấn công thực thi mã độc trên các hệ thống bị ảnh hưởng. Đây là một bản vá lỗi quan trọng cho người dùng và tổ chức nhằm bảo vệ trước các mối đe dọa mạng tiềm ẩn.
Cập nhật bảo mật Chrome mới nhất
Phiên bản Stable channel mới nhất nâng cấp Chrome lên phiên bản 149.0.7827.114/.115 trên Windows và macOS, và 149.0.7827.114 trên Linux. Quá trình triển khai đang diễn ra dần dần và dự kiến sẽ tiếp cận người dùng trong những ngày và tuần tới. Google cũng đã công bố một danh sách thay đổi chi tiết nêu rõ tất cả các sửa đổi trong bản phát hành này.
Các lỗ hổng nghiêm trọng được vá
Trong số các vấn đề nghiêm trọng nhất được vá là nhiều lỗ hổng memory corruption (hư hỏng bộ nhớ) cấp độ critical. Bao gồm các lỗi use-after-free trong các thành phần cốt lõi như Core, DigitalCredentials và WebMIDI, được định danh là CVE-2026-12007, CVE-2026-12008 và CVE-2026-12011. Những lỗ hổng này xảy ra khi bộ nhớ không được quản lý đúng cách, cho phép kẻ tấn công thao túng các vùng bộ nhớ đã được giải phóng.
Google cũng đã giải quyết một lỗ hổng heap buffer overflow cấp độ critical trong thành phần GPU, được theo dõi là CVE-2026-12010. Cùng với đó là vấn đề insufficient validation of untrusted input (xác thực đầu vào không đáng tin cậy không đầy đủ) trong thành phần Accessibility, được xác định là CVE-2026-12009.
Tác động của lỗ hổng
Các lỗ hổng này có thể bị khai thác bằng cách lừa người dùng truy cập các trang web được chế tạo đặc biệt, có khả năng cho phép thực thi mã tùy ý (arbitrary code execution) và dẫn đến việc chiếm quyền điều khiển hệ thống hoàn toàn.
Các lỗ hổng mức độ cao và trung bình
Ngoài các lỗ hổng critical, bản cập nhật còn giải quyết nhiều vấn đề nghiêm trọng (high-severity) ảnh hưởng đến nhiều thành phần của Chrome. Một số trong số này liên quan đến các lỗ hổng use-after-free trên các module Network, Media, Autofill, GPU, Video và Views. Các lỗi này có thể dẫn đến hư hỏng bộ nhớ và thường được sử dụng trong các chuỗi khai thác (exploit chains).
Các vấn đề nghiêm trọng khác bao gồm các lỗ hổng out-of-bounds read and write (đọc và ghi ngoài phạm vi) trong các thành phần như Codecs, Video và VideoCapture. Chúng có thể cho phép kẻ tấn công truy cập hoặc thao túng bộ nhớ theo những cách không mong muốn.
Một lỗ hổng heap buffer overflow khác trong thành phần GPU càng làm tăng nguy cơ bị khai thác. Bản cập nhật cũng sửa nhiều trường hợp insufficient validation of untrusted input trong DevTools, Extensions, Network và Linux Toolkit Theming.
Ngoài ra, Google đã giải quyết các vấn đề improper policy enforcement (thực thi chính sách không đúng) trong DevTools và Headless mode, cũng như một lỗ hổng race condition trong Safe Browsing. Những điểm yếu này có khả năng bị lạm dụng để vượt qua các hạn chế bảo mật hoặc can thiệp vào các cơ chế bảo vệ của trình duyệt.
Nguy cơ khai thác và biện pháp phòng ngừa
Mặc dù Google chưa xác nhận liệu các lỗ hổng này có đang bị khai thác tích cực hay không, sự tồn tại của nhiều lỗi liên quan đến bộ nhớ làm tăng đáng kể khả năng bị khai thác. Kẻ tấn công thường nhắm mục tiêu vào các lỗ hổng như vậy thông qua các trang web độc hại, bộ công cụ khai thác (exploit kits) hoặc các mạng quảng cáo bị xâm nhập.
Để giảm thiểu rủi ro, Google đã hạn chế quyền truy cập vào thông tin chi tiết về lỗ hổng cho đến khi phần lớn người dùng đã cài đặt bản cập nhật. Cách tiếp cận này giúp ngăn chặn kẻ tấn công phân tích các bản vá để phát triển các mã khai thác trước khi hệ thống được bảo mật. Google ghi nhận công lao của cả các nhóm bảo mật nội bộ và các nhà nghiên cứu bên ngoài trong việc xác định và báo cáo các lỗ hổng này.
Công ty cũng nhấn mạnh vai trò của các công cụ phát hiện tiên tiến như AddressSanitizer, MemorySanitizer, UndefinedBehaviorSanitizer, Control Flow Integrity, libFuzzer và AFL trong việc phát hiện và giảm thiểu các lỗ hổng bảo mật trong quá trình phát triển. Nguồn: NVD
Hành động cần thiết
Người dùng được khuyến khích mạnh mẽ cập nhật Chrome ngay lập tức lên phiên bản mới nhất để bảo vệ chống lại các mối đe dọa tiềm ẩn. Mặc dù các bản cập nhật tự động thường được bật, người dùng có thể tự kiểm tra phiên bản trình duyệt của mình thông qua bảng cài đặt Chrome.
Các tổ chức nên ưu tiên triển khai bản vá lỗi trên tất cả các hệ thống để giảm thiểu phơi nhiễm và ngăn chặn khả năng bị khai thác. Việc theo dõi các bản tin tin tức bảo mật mới nhất và nhanh chóng áp dụng các bản vá lỗi là yếu tố then chốt trong chiến lược an ninh mạng hiện đại.
