Google vá khẩn hai lỗ hổng zero-day trên Chrome đang bị tin tặc khai thác
Google vừa phát hành bản vá bảo mật khẩn cấp cho trình duyệt Chrome, khắc phục hai lỗ hổng zero-day nghiêm trọng đang bị tin tặc tích cực khai thác. Người dùng được khuyến cáo cập nhật ngay lập tức để bảo vệ thiết bị của mình trước các cuộc tấn công.
Vào thứ Năm vừa qua, Google đã phát hành các bản cập nhật bảo mật cho trình duyệt web Chrome nhằm giải quyết hai lỗ hổng có mức độ nghiêm trọng cao. Đáng chú ý, công ty xác nhận cả hai lỗ hổng này đều đang bị khai thác trong các cuộc tấn công thực tế.
Danh sách các lỗ hổng bao gồm:
CVE-2026-3909 (Điểm CVSS: 8.8) - Một lỗ hổng ghi ngoài vùng đệm (out-of-bounds write) trong thư viện đồ họa 2D Skia. Lỗ hổng này cho phép kẻ tấn công từ xa thực hiện truy cập bộ nhớ ngoài vùng đệm thông qua một trang HTML được chế tạo đặc biệt.
CVE-2026-3910 (Điểm CVSS: 8.8) - Một lỗ hổng triển khai không phù hợp trong engine V8 JavaScript và WebAssembly. Lỗ hổng này cho phép kẻ tấn công từ xa thực thi mã tùy ý bên trong môi trường sandbox thông qua một trang HTML được chế tạo đặc biệt.
Cả hai lỗ hổng đều do chính Google phát hiện và báo cáo vào ngày 10 tháng 3 năm 2026. Theo thông lệ, Google không công bố chi tiết về cách thức các lỗ hổng này đang bị lạm dụng cũng như danh tính của các nhóm tấn công. Biện pháp này nhằm ngăn chặn các tác nhân đe dọa khác khai thác các lỗ hổng trước khi người dùng kịp cập nhật.
"Google nhận thức được rằng các mã khai thác cho cả CVE-2026-3909 và CVE-2026-3910 đều đang tồn tại ngoài thực tế," công ty cho biết trong thông báo.
Đây là lần thứ hai trong vòng chưa đầy một tháng Google phải vá lỗ hổng zero-day trên Chrome. Trước đó, công ty đã tung ra bản sửa lỗi cho một lỗ hổng use-after-free nghiêm trọng trong thành phần CSS của Chrome (CVE-2026-2441, điểm CVSS: 8.8). Tính từ đầu năm đến nay, Google đã vá tổng cộng ba lỗ hổng zero-day trên Chrome đang bị tin tặc vũ khí hóa.
Khuyến nghị người dùng cập nhật ngay
Để được bảo vệ tối ưu, người dùng được khuyến cáo cập nhật trình duyệt Chrome của mình lên phiên bản 146.0.7680.75/76 cho Windows và Apple macOS, và phiên bản 146.0.7680.75 cho Linux. Để đảm bảo đã cài đặt bản cập nhật mới nhất, người dùng có thể vào menu Thêm > Trợ giúp > Giới thiệu về Google Chrome và chọn Chạy lại.
Người dùng các trình duyệt khác dựa trên nhân Chromium như Microsoft Edge, Brave, Opera và Vivaldi cũng nên áp dụng các bản sửa lỗi ngay khi chúng được nhà phát triển phát hành.
Cập nhật từ CISA
Vào ngày 13 tháng 3 năm 2026, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã thêm cả hai lỗ hổng của Google Chrome vào danh mục Các lỗ hổng đã biết đang bị khai thác (KEV). CISA yêu cầu các cơ quan thuộc Nhánh Hành pháp Dân sự Liên bang (FCEB) phải áp dụng các bản vá trước ngày 27 tháng 3 năm 2026.
Nguồn: The Hacker News
