Google Vá Lỗ Hổng Zero-Day Thứ Năm Trên Chrome: Cập Nhật Ngay Kẻo 'Dính Đòn'

Lỗ hổng này có điểm CVSS là 8.8, được xếp vào loại "có độ nghiêm trọng cao" . Mặc dù Google mô tả lỗi cho phép "kẻ tấn công từ xa thực thi mã tùy ý bên trong hộp cát", bản chất của lỗi đọc/ghi ngoài vùng nhớ còn khiến các kỹ thuật như vượt qua cơ chế bảo vệ ASLR (Phân bổ không gian địa chỉ ngẫu nhiên) trở nên khả thi, tạo tiền đề cho những cuộc tấn công sâu hơn vào hệ thống . Hậu quả thực tế với người dùng có thể là bị cài mã độc, đánh cắp dữ liệu cá nhân hoặc tài khoản ngân hàng.

Chi Tiết Bản Vá và Lịch Trình

Bản vá khẩn cấp đã được đưa vào kênh Ổn định (Stable Desktop) vào ngày 6 tháng 8 năm 2026, như một phần của bản phát hành lớn sửa tổng cộng 74 lỗ hổng bảo mật . Google đã xác nhận rằng mã khai thác cho CVE-2026-11645 "đã tồn tại trên mạng", biến đây thành bản cập nhật bắt buộc và khẩn cấp cho mọi người dùng Chrome .

Các phiên bản đã được vá bao gồm:

• Windows và macOS: Chrome 149.0.7827.102 / 149.0.7827.103
• Linux: Chrome 149.0.7827.102

Thông thường, Chrome tự động cập nhật trong nền, nhưng quá trình triển khai tự động có thể mất vài ngày hoặc vài tuần. Người dùng có thể chủ động cập nhật ngay lập tức bằng cách vào Menu Chrome (dấu ba chấm góc phải) > Trợ giúp > Giới thiệu về Chrome.

'Tiền thưởng' Lỗi và Quá Trình Công Bố

Một nhà nghiên cứu bảo mật ẩn danh với biệt danh "303f06e3" đã phát hiện và báo cáo lỗ hổng cho Google vào ngày 27 tháng 4 năm 2026 . Google đã trao thưởng $55,000 (khoảng hơn 1,3 tỷ đồng) cho phát hiện này, phù hợp với các mức thưởng trong Chương trình Tìm kiếm Lỗ hổng Chrome dành cho các lỗi nghiêm trọng liên quan đến bộ nhớ của V8 .

'Bức tranh' toàn cảnh các lỗ hổng Zero-Day trên Chrome năm 2026

Với CVE-2026-11645, Chrome đã có năm lỗ hổng zero-day bị khai thác thực tế được vá chỉ trong năm 2026 . Danh sách đầy đủ tính đến trước tháng 6 cho thấy tốc độ gia tăng đáng báo động của các cuộc tấn công nhắm vào trình duyệt:

• CVE-2026-2441 (Tháng 2/2026): Một lỗi "use-after-free" trong bộ xử lý CSS của Chrome, cho phép thực thi mã từ xa qua trang HTML độc hại .
• CVE-2026-3909 (12/03/2026): Lỗi ghi ngoài vùng nhớ trong Skia, thư viện đồ họa 2D nền tảng của Chrome .
• CVE-2026-3910 (12/03/2026): Lỗi triển khai không phù hợp trong nhân V8, được vá cùng đợt với CVE-2026-3909 .
• CVE-2026-5281 (01/04/2026): Lỗi use-after-free trong Dawn, thành phần triển khai WebGPU đa nền tảng của Chrome. CISA (Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ) đã thêm lỗi này vào danh mục Lỗ hổng Đã biết bị Khai thác .
• CVE-2026-11645 (Tháng 6/2026): Lỗi zero-day đọc/ghi ngoài vùng nhớ của V8 được vá trong bản cập nhật khẩn cấp này .

Tất cả năm lỗ hổng đều đã bị khai thác trước khi có bản vá. Điều này đặt áp lực lớn lên các quản trị viên hệ thống và người dùng cá nhân trong việc rút ngắn chu kỳ cập nhật cho phần mềm trình duyệt .

Người Dùng Việt Nam Cần Làm Gì Ngay Bây Giờ?

Chrome thường tự động cập nhật, nhưng để bảo vệ ngay lập tức, hãy làm theo các bước sau:

1. Mở Chrome.
2. Nhấp vào biểu tượng ba dấu chấm dọc ở góc trên bên phải.
3. Chọn Trợ giúp > Giới thiệu về Chrome.
4. Trình duyệt sẽ tự động kiểm tra và tải bản cập nhật mới nhất. Sau khi tải xong, hãy nhấn Khởi động lại.

Sau khi cập nhật, số phiên bản sẽ là 149.0.7827.102 trở lên trên Windows và Linux, và 149.0.7827.103 trở lên trên macOS . Hãy dành vài phút thực hiện ngay thao tác này để bảo vệ an toàn thông tin cá nhân trước các mối đe dọa mạng đang gia tăng.