MinhSec
Writer
Google Chrome vừa phát hành bản cập nhật bảo mật khẩn cấp để xử lý một lỗ hổng zero-day nghiêm trọng đang bị khai thác ngoài thực tế. Đây là dạng lỗ hổng đặc biệt nguy hiểm vì tin tặc có thể tận dụng trước khi nhà phát triển kịp tung bản vá.
Theo thông báo từ Google, phiên bản Chrome ổn định mới đã được nâng lên:
Lỗ hổng đáng chú ý nhất mang mã CVE-2026-5281, thuộc dạng use-after-free trong hệ thống Dawn lớp trừu tượng GPU phục vụ việc triển khai WebGPU. Đây là lỗi xảy ra khi chương trình vẫn tiếp tục sử dụng vùng nhớ đã được giải phóng, từ đó mở đường cho kẻ tấn công thực thi mã độc hoặc vượt qua sandbox của trình duyệt.
Google xác nhận lỗ hổng này đã bị khai thác trong thực tế, dù các chi tiết kỹ thuật vẫn được giữ kín nhằm hạn chế việc bị lợi dụng rộng rãi.
Các lỗi trải rộng trên nhiều thành phần quan trọng như:
Một số lỗ hổng còn được phát hiện trực tiếp bởi đội ngũ bảo mật nội bộ của Google, cho thấy hãng đang chủ động săn tìm mối đe dọa thay vì chỉ phản ứng khi có báo cáo từ bên ngoài.
Để cập nhật ngay:
Theo thông báo từ Google, phiên bản Chrome ổn định mới đã được nâng lên:
- 146.0.7680.177/178 (Windows, Mac)
- 146.0.7680.177 (Linux)
Lỗ hổng đáng chú ý nhất mang mã CVE-2026-5281, thuộc dạng use-after-free trong hệ thống Dawn lớp trừu tượng GPU phục vụ việc triển khai WebGPU. Đây là lỗi xảy ra khi chương trình vẫn tiếp tục sử dụng vùng nhớ đã được giải phóng, từ đó mở đường cho kẻ tấn công thực thi mã độc hoặc vượt qua sandbox của trình duyệt.
Google xác nhận lỗ hổng này đã bị khai thác trong thực tế, dù các chi tiết kỹ thuật vẫn được giữ kín nhằm hạn chế việc bị lợi dụng rộng rãi.
Hơn 20 lỗ hổng bảo mật được vá cùng lúc, mức độ rủi ro cao
Không chỉ dừng lại ở zero-day, bản cập nhật lần này còn vá tổng cộng 21 lỗ hổng bảo mật, trong đó có tới 19 lỗi mức độ nghiêm trọng cao.Các lỗi trải rộng trên nhiều thành phần quan trọng như:
- GPU, WebGL, WebGPU
- WebCodecs, Web MIDI
- V8 (engine JavaScript)
- WebUSB, PDF, Navigation
- Hệ thống compositing và hiển thị
Một số lỗ hổng còn được phát hiện trực tiếp bởi đội ngũ bảo mật nội bộ của Google, cho thấy hãng đang chủ động săn tìm mối đe dọa thay vì chỉ phản ứng khi có báo cáo từ bên ngoài.
Người dùng cần làm gì ngay lúc này ?
Nếu bạn đang sử dụng phiên bản Chrome cũ hơn:- Windows/Mac: trước 146.0.7680.178
- Linux: trước 146.0.7680.177
Để cập nhật ngay:
- Mở Chrome
- Chọn menu (⋮)
- Vào Trợ giúp → Giới thiệu về Google Chrome
- Đợi trình duyệt tự động cập nhật và khởi động lại
Nguồn: Cybersecuritynews
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
