Cảnh báo 3,5 tỷ người dùng Chrome về lỗ hổng bảo mật Zero-Day mới được phát hiện

Mặc dù các bản cập nhật bảo mật hằng tuần đã trở thành thông lệ từ năm 2023, nhưng việc Google phát hành thêm một bản vá cho Chrome chỉ sau 48 giờ kể từ bản cập nhật trước đó cho thấy mức độ nghiêm trọng của vấn đề. Thực tế, Google đã xác nhận hai lỗ hổng bảo mật zero-day đang bị khai thác nhắm vào người dùng Chrome.

Google cho biết kể từ phiên bản Chrome 153, các bản cập nhật ổn định sẽ được phát hành hai tuần một lần, rút ngắn một nửa so với lịch trình trước đây. Trước đó, bản cập nhật ngày 10/3 đã bao gồm tới 29 bản vá bảo mật, trong khi bản cập nhật trước đó được phát hành ngày 3/3. Tuy nhiên, mới đây Google tiếp tục tung ra bản vá khẩn cấp nhằm khắc phục hai lỗ hổng zero-day mang mã CVE-2026-3909 và CVE-2026-3910, trong bối cảnh các công cụ khai thác đã xuất hiện ngoài thực tế.

Theo Google, cả hai lỗ hổng đều có mức độ nghiêm trọng cao theo hệ thống chấm điểm lỗ hổng phổ biến (CVSS) và ảnh hưởng đến các thành phần cốt lõi của trình duyệt Chrome. Đáng chú ý, các lỗ hổng này do chính Google phát hiện, thay vì các nhà nghiên cứu bảo mật bên ngoài như thường lệ.

Cụ thể, CVE-2026-3909 là lỗ hổng truy cập bộ nhớ ngoài phạm vi, có thể dẫn tới thực thi mã từ xa khi bị khai thác. Lỗi này nằm trong thư viện đồ họa Skia – thành phần được Chrome sử dụng để hiển thị giao diện người dùng và nội dung web. Kẻ tấn công có thể kích hoạt lỗ hổng chỉ bằng cách dụ người dùng truy cập vào một trang web độc hại.

Trong khi đó, CVE-2026-3910 xuất hiện trong V8 – công cụ JavaScript cốt lõi của Chrome, vốn từ lâu là mục tiêu phổ biến của tin tặc. Theo mô tả của OpenCVE, lỗ hổng này liên quan đến lỗi triển khai không phù hợp, có thể cho phép kẻ tấn công từ xa thực thi mã tùy ý trong môi trường sandbox thông qua một trang HTML được tạo sẵn.

Song song với việc khắc phục lỗ hổng, Google cũng nhấn mạnh vai trò của Chương trình Thưởng Phát hiện Lỗ hổng (Vulnerability Reward Program – VRP). Chương trình này đã hoạt động được 15 năm và đã chi tổng cộng 81,6 triệu USD cho các nhà nghiên cứu bảo mật. Riêng trong năm 2025, số tiền thưởng đã vượt 17 triệu USD.

Theo Google, hơn 100 nhà nghiên cứu đã nhận tổng cộng 3,7 triệu USD tiền thưởng cho các phát hiện liên quan đến Chrome. Hai nhà nghiên cứu nhận khoản thưởng lớn nhất trong năm 2025 sau khi phát hiện lỗi logic trong cơ chế giao tiếp giữa các tiến trình của Chrome và chứng minh được khả năng khai thác.

Ngoài chương trình VRP chung, Google còn duy trì chương trình Chrome VRP chuyên biệt, đồng thời mở rộng sang lĩnh vực trí tuệ nhân tạo. Chương trình AI VRP đã chi khoảng 350.000 USD tiền thưởng kể từ khi ra mắt.

Các chuyên gia cho rằng số lượng lỗ hổng được phát hiện không phải là dấu hiệu cho thấy Chrome kém an toàn. Ngược lại, việc các lỗi được phát hiện sớm nhờ cộng đồng nghiên cứu bảo mật giúp trình duyệt trở nên an toàn hơn trước các mối đe dọa mới.

Đối với người dùng, Google đã bắt đầu triển khai bản cập nhật bảo mật mới, tuy nhiên quá trình này có thể kéo dài trong vài ngày hoặc vài tuần. Quan trọng hơn, người dùng cần khởi động lại trình duyệt sau khi cập nhật để bản vá được kích hoạt.

Người dùng được khuyến nghị mở menu ba chấm trong Chrome, chọn Trợ giúp → Giới thiệu về Google Chrome để kiểm tra và cài đặt bản cập nhật mới nhất. Phiên bản đã vá lỗi hiện tại là 146.0.7680.75/76 cho Windows và Mac, và 146.0.7680.75 cho Linux. Việc cập nhật kịp thời được xem là cách tốt nhất để giảm thiểu nguy cơ bị tấn công từ các lỗ hổng zero-day.

Theo Mộc Miên