Google vừa phát hành một bản cập nhật bảo mật khẩn cấp cho trình duyệt Chrome, vá một lỗ hổng zero-day nghiêm trọng đang bị khai thác tích cực trong thực tế. Phiên bản Stable đã được cập nhật lên 149.0.7827.102/.103 cho Windows và Mac, cùng 149.0.7827.102 cho Linux, khắc phục tổng cộng 74 lỗ hổng bảo mật, bao gồm một lỗ hổng zero-day đã được xác nhận.
Phân tích các lỗ hổng Chrome zero-day bị khai thác
Lỗ hổng nghiêm trọng CVE-2026-11645
Lỗ hổng quan trọng nhất trong bản cập nhật này là CVE-2026-11645, một lỗ hổng truy cập bộ nhớ ngoài giới hạn (out-of-bounds memory access) với mức độ nghiêm trọng cao, tồn tại trong công cụ JavaScript V8 của Chrome.
Các lỗ hổng truy cập bộ nhớ ngoài giới hạn trong V8 đặc biệt nguy hiểm bởi công cụ này xử lý mã JavaScript không đáng tin cậy từ mọi trang web người dùng truy cập. Việc khai thác thành công có thể làm hỏng bộ nhớ, rò rỉ dữ liệu nhạy cảm, hoặc khi kết hợp với các lỗi khác, dẫn đến remote code execution chỉ bằng cách lừa nạn nhân truy cập vào một trang độc hại.
Lỗ hổng này được phát hiện bởi một nhà nghiên cứu độc lập có tên “303f06e3” vào ngày 27 tháng 4 năm 2026. Google đã trao thưởng $55,000 cho báo cáo này, phản ánh tiềm năng tác động đáng kể của nó. Google xác nhận rõ ràng rằng “Google nhận thức được rằng có một mã khai thác (exploit) cho CVE-2026-11645 đang tồn tại trong thực tế.” Các lỗ hổng truy cập bộ nhớ ngoài giới hạn trong V8 có thể bị kẻ tấn công lợi dụng để thực thi mã tùy ý trong tiến trình renderer của trình duyệt, tiềm ẩn nguy cơ thoát khỏi sandbox và chiếm quyền điều khiển toàn bộ hệ thống khi kết hợp với các khai thác khác.
Các lỗ hổng bảo mật khác trong bản cập nhật
Bản cập nhật này không chỉ vá một lỗ hổng duy nhất. Tổng cộng, bản phát hành bao gồm 74 bản sửa lỗi bảo mật, trong đó có 17 lỗ hổng ở mức độ Critical. Phần lớn trong số đó là các lỗi use-after-free (UAF), một loại lỗi làm hỏng bộ nhớ đã trở thành vấn đề dai dẳng trong bảo mật trình duyệt.
Lỗ hổng UAF xảy ra khi một chương trình tiếp tục sử dụng con trỏ bộ nhớ sau khi bộ nhớ được tham chiếu đã được giải phóng. Việc khai thác các lỗ hổng này có thể cho phép kẻ tấn công làm hỏng bộ nhớ, thực thi mã tùy ý hoặc làm sập trình duyệt hoàn toàn.
Danh mục lỗ hổng nghiêm trọng bao gồm thêm 57 lỗ hổng ảnh hưởng đến hầu hết các thành phần chính của Chrome, bao gồm V8 (CVE-2026-11649/11650), WebRTC (CVE-2026-11667), PDF (CVE-2026-11670), ServiceWorker (CVE-2026-11656/11694), Extensions (CVE-2026-11652/11653), Network (CVE-2026-11651/11677) và GPU (CVE-2026-11672).
Sự đa dạng của các thành phần bị ảnh hưởng cho thấy một cuộc kiểm toán bảo mật nội bộ sâu rộng do chính các nhà nghiên cứu của Google thực hiện trong khoảng thời gian từ cuối tháng 4 đến cuối tháng 5 năm 2026.
Đáng chú ý, CVE-2026-11662 liên quan đến lỗ hổng Type Confusion trong Bindings, và CVE-2026-11688 chỉ ra vấn đề về Vòng đời Đối tượng (Object Lifecycle Issue) trong SVG. Cả hai loại lỗi này thường được sử dụng trong các chuỗi khai thác trên trình duyệt.
Cập nhật và biện pháp phòng ngừa
Kênh Stable đã được cập nhật lên phiên bản 149.0.7827.102/.103 cho Windows và Mac, và 149.0.7827.102 cho Linux. Google lưu ý rằng quá trình triển khai sẽ tiếp cận người dùng trong những ngày và tuần tới. Do đó, việc cập nhật thủ công được khuyến nghị mạnh mẽ thay vì chờ đợi bản cập nhật tự động.
Hướng dẫn cập nhật thủ công
Người dùng không nên chờ đợi bản cập nhật tự động. Để cập nhật thủ công:
1. Mở Chrome.
2. Nhấp vào ba dấu chấm dọc ở góc trên bên phải.
3. Chọn "Trợ giúp" > "Giới thiệu về Google Chrome".
4. Chrome sẽ tự động kiểm tra các bản cập nhật và cài đặt chúng.
5. Khởi động lại trình duyệt nếu được yêu cầu.Khuyến nghị cho quản trị viên doanh nghiệp
Các quản trị viên doanh nghiệp nên ưu tiên triển khai phiên bản 149.0.7827.102/103 trên các điểm cuối được quản lý ngay lập tức, đặc biệt là do việc khai thác CVE-2026-11645 đã được xác nhận trong thực tế. Việc đảm bảo hệ thống luôn được cập nhật bản vá bảo mật là yếu tố then chốt để duy trì an toàn thông tin.
Việc chủ động thực hiện các biện pháp phòng ngừa, bao gồm cập nhật bản vá kịp thời và theo dõi các cảnh báo bảo mật mới nhất, giúp giảm thiểu đáng kể rủi ro bảo mật tiềm ẩn từ các lỗ hổng chưa được biết đến hoặc đang bị khai thác tích cực.
Tham khảo thông tin chi tiết về bản phát hành tại Google Chrome Stable Channel Update.
