Google vừa chính thức phát hành bản cập nhật an ninh khẩn cấp cho trình duyệt Chrome, khắc phục hai lỗ hổng bảo mật Zero-day có mức độ nghiêm trọng cao. Đáng chú ý, cả hai lỗ hổng này đều được xác nhận đang bị các nhóm tin tặc khai thác tích cực trong thực tế, đặt người dùng toàn cầu trước nguy cơ bị tấn công mã độc.
Google đã chính thức triển khai bản cập nhật trên kênh Stable cho toàn bộ hệ sinh thái. Cụ thể, người dùng Windows và macOS sẽ được nâng cấp lên phiên bản 146.0.7680.75/76, phiên bản dành cho hệ điều hành Linux là 146.0.7680.75.
Việc đội ngũ bảo mật nội bộ Google phát hiện và báo cáo các lỗi phát sinh vào ngày 10/03/2026 đã cho thấy tính chất cấp bách của đợt cập nhật này, nhằm bảo vệ hạ tầng trình duyệt trước những kỹ thuật tấn công tinh vi.
Đi sâu vào kỹ thuật, hai lỗ hổng Zero-day này tập trung vào các thành phần cốt lõi của trình duyệt:
- CVE-2026-3909 (điểm CVSS: 8.8/10): Lỗi ghi ngoài phạm vi bộ nhớ (Out-of-Bounds Write) trong Skia – công cụ đồ họa 2D mã nguồn mở vận hành luồng xử lý hiển thị của Chrome, cho phép thoát khỏi cơ chế Sandbox, đe dọa trực tiếp đến an toàn hệ thống.
- CVE-2026-3910 (điểm CVSS: 8.8/10): Lỗi triển khai trong V8 cho phép thực thi mã độc qua JavaScript. Do JavaScript là thành phần không thể thiếu khi duyệt web, tin tặc có thể tạo ra các trang web độc hại để kích hoạt lỗi ngay khi người dùng truy cập.
Việc Google hạn chế công bố chi tiết kỹ thuật và mã khai thác (PoC) ở thời điểm hiện tại là một quy trình vận hành chuẩn quốc tế. Mục tiêu là để đảm bảo phần lớn người dùng có đủ thời gian áp dụng bản vá trước khi các nhóm tội phạm mạng khác có thể dịch ngược và mở rộng phạm vi tấn công.
Khuyến cáo từ chuyên gia của VNCS Global
Trước diễn biến phức tạp của các lỗ hổng Zero-day đang bị khai thác thực tế, đặc biệt là các biến thể liên quan đến thực thi mã từ xa (RCE) và thoát khỏi cơ chế Sandbox, chuyên gia của VNCS Global khuyến nghị các doanh nghiệp thực hiện các biện pháp phòng vệ chủ động:
- Đối với các lỗ hổng Zero-day đã ghi nhận mã khai thác thực tế, doanh nghiệp không nên phụ thuộc vào lộ trình cập nhật tự động. Đội ngũ quản trị hệ thống cần ưu tiên triển khai bản vá ngay lập tức trên toàn bộ hạ tầng máy trạm và máy chủ thuộc môi trường vận hành của doanh nghiệp.
- Kiểm soát luồng thực thi JavaScript: Với rủi ro từ công cụ V8, các tổ chức nên xem xét áp dụng các chính sách hạn chế thực thi script từ các nguồn không tin cậy hoặc sử dụng các giải pháp lọc web (Web Filtering) để ngăn chặn truy cập vào các tên miền có độ tín nhiệm thấp.
- Giám sát bất thường tại endpoint: Sử dụng các giải pháp EDR/XDR để giám sát các hành vi bất thường xuất phát từ tiến trình trình duyệt (như Chrome.exe tạo ra các tiến trình con lạ hoặc thực hiện ghi đè bộ nhớ bất thường), giúp phát hiện sớm dấu hiệu xâm nhập ngay cả khi bản vá chưa được phủ kín.
- Tăng cường nhận thức người dùng: Khuyến cáo nhân viên thực hiện thao tác kiểm tra cập nhật thủ công tại mục Help → About Google Chrome và thực hiện khởi động lại trình duyệt để các thay đổi bảo mật có hiệu lực hoàn toàn, tránh việc treo tab quá lâu khiến bản vá không được áp dụng.
Nguồn: Tổng hợp
