Cảnh báo khẩn: 3,5 tỷ người dùng Chrome đối mặt lỗ hổng Zero-Day nguy hiểm

Google vừa tung ra bản cập nhật khẩn cấp cho trình duyệt Chrome nhằm vá hai lỗ hổng zero-day nghiêm trọng, được mã hóa là CVE-2026-3909 và CVE-2026-3910. Đáng chú ý, các lỗ hổng này đang bị khai thác tích cực trong thực tế, buộc công ty phải hành động nhanh chóng chỉ sau 48 giờ kể từ bản cập nhật trước đó. Hành động này nhấn mạnh mức độ nguy hiểm của vấn đề, với 3,5 tỷ người dùng Chrome trên toàn cầu được khuyến cáo cập nhật và khởi động lại trình duyệt ngay để đảm bảo an toàn.

Chi tiết về hai lỗ hổng zero-day đáng lo ngại

Cả hai lỗ hổng đều được đánh giá ở mức độ nghiêm trọng cao theo hệ thống chấm điểm CVSS và ảnh hưởng trực tiếp đến các thành phần cốt lõi của Chrome. Điều đặc biệt là chúng được phát hiện bởi chính Google, thay vì các nhà nghiên cứu bên ngoài như thông lệ.

CVE-2026-3909: Là lỗ hổng truy cập bộ nhớ ngoài phạm vi trong thư viện đồ họa Skia, được Chrome sử dụng để hiển thị giao diện và nội dung web. Kẻ tấn công có thể lợi dụng lỗi này để thực thi mã từ xa chỉ bằng cách dụ người dùng truy cập vào một trang web độc hại.
CVE-2026-3910: Xuất hiện trong công cụ JavaScript V8, một mục tiêu phổ biến của tin tặc. Lỗ hổng này liên quan đến lỗi triển khai không phù hợp, cho phép kẻ tấn công từ xa thực thi mã tùy ý trong môi trường sandbox thông qua một trang HTML được tạo sẵn.

Bối cảnh cập nhật bảo mật và phản ứng của Google

Mặc dù Google đã thực hiện các bản cập nhật bảo mật hàng tuần từ năm 2023 và gần đây chuyển sang lịch trình hai tuần một lần kể từ phiên bản Chrome 153, việc phát hành thêm bản vá khẩn cấp này cho thấy sự cấp thiết. Trước đó, bản cập nhật ngày 10/3 đã bao gồm 29 bản vá, nhưng các lỗ hổng mới vẫn xuất hiện. Google nhấn mạnh rằng người dùng cần kiểm tra phiên bản Chrome hiện tại bằng cách mở menu ba chấm, chọn Trợ giúp → Giới thiệu về Google Chrome. Phiên bản đã vá lỗi hiện tại là 146.0.7680.75/76 cho Windows và Mac, và 146.0.7680.75 cho Linux.

—

Banner rộng Pickt — ứng dụng danh sách mua sắm cộng tác cho Telegram

Vai trò của chương trình thưởng phát hiện lỗ hổng

Song song với việc khắc phục, Google cũng đề cao Chương trình Thưởng Phát hiện Lỗ hổng (VRP), đã hoạt động 15 năm và chi tổng cộng 81,6 triệu USD. Trong năm 2025, số tiền thưởng vượt 17 triệu USD, với hơn 100 nhà nghiên cứu nhận 3,7 triệu USD cho các phát hiện liên quan đến Chrome. Ngoài ra, Google còn duy trì chương trình Chrome VRP chuyên biệt và mở rộng sang lĩnh vực trí tuệ nhân tạo với AI VRP, đã chi khoảng 350.000 USD tiền thưởng.

Ý kiến chuyên gia và khuyến nghị cho người dùng

Các chuyên gia cho rằng việc phát hiện sớm lỗ hổng nhờ cộng đồng nghiên cứu không phải là dấu hiệu Chrome kém an toàn, mà ngược lại giúp trình duyệt trở nên an toàn hơn trước các mối đe dọa mới. Google đang triển khai bản cập nhật, nhưng quá trình có thể kéo dài vài ngày hoặc vài tuần. Quan trọng nhất, người dùng cần khởi động lại trình duyệt sau khi cập nhật để kích hoạt bản vá. Việc cập nhật kịp thời được xem là cách tốt nhất để giảm thiểu nguy cơ bị tấn công từ các lỗ hổng zero-day, bảo vệ dữ liệu và thông tin cá nhân.