Buzz
Google đã thông báo về bản vá khẩn cấp dành cho trình duyệt Chrome nhằm khắc phục hai lỗ hổng zero-day nghiêm trọng (CVE-2026-3909 và CVE-2026-3910). Các lỗ hổng này đang bị khai thác và người dùng được khuyến cáo cập nhật ngay lập tức để bảo vệ an toàn.
Mặc dù Google đã triển khai các bản vá bảo mật hàng tuần từ năm 2023, việc phát hành bản vá chỉ 48 giờ sau bản cập nhật trước cho thấy sự nghiêm trọng của lỗ hổng. Google xác nhận rằng hai lỗ hổng này đang bị khai thác nhắm đến người dùng Chrome.
Google cho biết từ phiên bản Chrome 153, các bản cập nhật bảo mật sẽ được phát hành mỗi hai tuần, rút ngắn một nửa so với lịch trình trước đó. Tuy nhiên, Google đã tung ra một bản vá khẩn cấp để khắc phục các lỗ hổng zero-day (CVE-2026-3909 và CVE-2026-3910) khi các công cụ khai thác đã xuất hiện.
Cả hai lỗ hổng zero-day được Google phát hiện đều có mức độ nghiêm trọng cao theo hệ thống điểm CVSS và ảnh hưởng trực tiếp đến các thành phần quan trọng trong Chrome. Đặc biệt, đây là những lỗ hổng do chính Google phát hiện, chứ không phải từ các nhà nghiên cứu bảo mật bên ngoài.
CVE-2026-3909 là một lỗ hổng truy cập bộ nhớ ngoài phạm vi, có thể dẫn đến thực thi mã từ xa khi bị khai thác. Lỗi này nằm trong thư viện đồ họa Skia, một thành phần quan trọng trong việc hiển thị giao diện người dùng và nội dung web của Chrome. Kẻ tấn công có thể khai thác lỗ hổng này chỉ bằng cách dụ người dùng truy cập vào một trang web độc hại.
Ảnh minh họa
CVE-2026-3910 là một lỗ hổng trong V8, công cụ JavaScript cốt lõi của Chrome, vốn là mục tiêu quen thuộc của tin tặc. Lỗi này liên quan đến việc triển khai không chính xác, tạo cơ hội cho kẻ tấn công thực thi mã tùy ý trong môi trường sandbox qua một trang HTML được tạo sẵn.
Bên cạnh việc vá lỗ hổng, Google cũng nhấn mạnh tầm quan trọng của Chương trình Thưởng Phát hiện Lỗ hổng (Vulnerability Reward Program – VRP). Được duy trì trong suốt 15 năm, chương trình đã trao tổng cộng 81,6 triệu USD cho các nhà nghiên cứu bảo mật, trong đó năm 2025 số tiền thưởng đã vượt qua 17 triệu USD.
Google cho biết hơn 100 nhà nghiên cứu đã nhận 3,7 triệu USD tiền thưởng cho các phát hiện liên quan đến Chrome. Trong đó, hai nhà nghiên cứu nhận số tiền thưởng lớn nhất trong năm 2025 sau khi phát hiện lỗi logic trong cơ chế giao tiếp giữa các tiến trình của Chrome và chứng minh khả năng khai thác.
Ngoài chương trình VRP chung, Google còn duy trì chương trình Chrome VRP chuyên biệt và đã mở rộng sang lĩnh vực trí tuệ nhân tạo. Chương trình AI VRP đã trao khoảng 350.000 USD tiền thưởng kể từ khi ra mắt.
Các chuyên gia cho rằng số lượng lỗ hổng phát hiện được không phải là dấu hiệu của sự thiếu an toàn của Chrome. Thực tế, việc phát hiện lỗi sớm nhờ sự đóng góp của cộng đồng bảo mật giúp trình duyệt ngày càng an toàn hơn trước các mối đe dọa mới.
Google đã bắt đầu triển khai bản cập nhật bảo mật mới, tuy nhiên, quá trình này có thể kéo dài từ vài ngày đến vài tuần. Quan trọng là người dùng cần khởi động lại trình duyệt sau khi cập nhật để kích hoạt bản vá.
Người dùng được khuyến nghị mở menu ba chấm trong Chrome, chọn Trợ giúp → Giới thiệu về Google Chrome để kiểm tra và cài đặt bản cập nhật mới nhất. Phiên bản đã vá lỗi hiện tại là 146.0.7680.75/76 cho Windows và Mac, và 146.0.7680.75 cho Linux. Cập nhật kịp thời là cách tốt nhất để giảm thiểu nguy cơ từ các lỗ hổng zero-day.
