MinhSec
Writer
Google Chrome vừa phát hành bản cập nhật Chrome 148 cho Windows, Mac và Linux, mang theo tới 127 bản vá bảo mật trong một lần cập nhật, trở thành một trong những đợt vá lỗi lớn nhất của trình duyệt này trong thời gian gần đây.
Phiên bản mới gồm Chrome 148.0.7778.96 cho Linux và 148.0.7778.96/97 cho Windows cùng Mac. Trong số các lỗ hổng được khắc phục có 3 lỗi ở mức nghiêm trọng, hơn 20 lỗi mức cao và hàng loạt lỗ hổng trung bình đến thấp.
Google cho biết hãng đã trao hơn 100.000 USD tiền thưởng cho các nhà nghiên cứu bảo mật bên ngoài. Riêng một chuyên gia đã nhận 55.000 USD sau khi phát hiện lỗi đọc và ghi ngoài phạm vi nghiêm trọng trong công cụ JavaScript V8.
Trong đó, CVE-2026-7896 là lỗi tràn số nguyên trong công cụ kết xuất Blink, có thể bị khai thác để thực thi mã độc. Hai lỗ hổng còn lại là lỗi “use-after-free” trong Mobile và Chromoting, dạng lỗi đặc biệt nguy hiểm vì cho phép tin tặc thao túng vùng nhớ đã được giải phóng để chạy mã tùy ý trên thiết bị nạn nhân.
Ngoài ra, Chrome 148 còn vá hàng loạt lỗi nghiêm trọng trong V8 và ANGLE, những thành phần cốt lõi của trình duyệt. Một số lỗi có thể bị khai thác thông qua các website độc hại nhằm chiếm quyền điều khiển hệ thống hoặc đánh cắp dữ liệu.
Các thành phần như SVG, DOM, WebRTC, GPU, WebAudio, Passwords hay ServiceWorker cũng được vá lỗi bảo mật trong bản cập nhật lần này.
Google cho biết nhiều lỗ hổng được phát hiện nhờ các công cụ kiểm thử tự động như AddressSanitizer, MemorySanitizer, libFuzzer và AFL, cho thấy quy mô lớn của hệ thống kiểm tra bảo mật nội bộ.
Người dùng Windows, Mac và Linux được khuyến cáo cập nhật ngay lên Chrome 148 để tránh nguy cơ bị tấn công.
Để cập nhật, người dùng truy cập: Cài đặt → Trợ giúp → Giới thiệu về Chrome. Trình duyệt sẽ tự động tải và cài đặt phiên bản mới nhất.
Phiên bản mới gồm Chrome 148.0.7778.96 cho Linux và 148.0.7778.96/97 cho Windows cùng Mac. Trong số các lỗ hổng được khắc phục có 3 lỗi ở mức nghiêm trọng, hơn 20 lỗi mức cao và hàng loạt lỗ hổng trung bình đến thấp.
Google cho biết hãng đã trao hơn 100.000 USD tiền thưởng cho các nhà nghiên cứu bảo mật bên ngoài. Riêng một chuyên gia đã nhận 55.000 USD sau khi phát hiện lỗi đọc và ghi ngoài phạm vi nghiêm trọng trong công cụ JavaScript V8.
Hàng loạt lỗ hổng nguy hiểm được vá
Ba lỗ hổng nghiêm trọng nhất gồm CVE-2026-7896, CVE-2026-7897 và CVE-2026-7898.Trong đó, CVE-2026-7896 là lỗi tràn số nguyên trong công cụ kết xuất Blink, có thể bị khai thác để thực thi mã độc. Hai lỗ hổng còn lại là lỗi “use-after-free” trong Mobile và Chromoting, dạng lỗi đặc biệt nguy hiểm vì cho phép tin tặc thao túng vùng nhớ đã được giải phóng để chạy mã tùy ý trên thiết bị nạn nhân.
Ngoài ra, Chrome 148 còn vá hàng loạt lỗi nghiêm trọng trong V8 và ANGLE, những thành phần cốt lõi của trình duyệt. Một số lỗi có thể bị khai thác thông qua các website độc hại nhằm chiếm quyền điều khiển hệ thống hoặc đánh cắp dữ liệu.
Các thành phần như SVG, DOM, WebRTC, GPU, WebAudio, Passwords hay ServiceWorker cũng được vá lỗi bảo mật trong bản cập nhật lần này.
Google cho biết nhiều lỗ hổng được phát hiện nhờ các công cụ kiểm thử tự động như AddressSanitizer, MemorySanitizer, libFuzzer và AFL, cho thấy quy mô lớn của hệ thống kiểm tra bảo mật nội bộ.
Người dùng Windows, Mac và Linux được khuyến cáo cập nhật ngay lên Chrome 148 để tránh nguy cơ bị tấn công.
Để cập nhật, người dùng truy cập: Cài đặt → Trợ giúp → Giới thiệu về Chrome. Trình duyệt sẽ tự động tải và cài đặt phiên bản mới nhất.
Nguồn: Cybersecuritynews.com
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
