Chrome dính lỗ hổng zero-day CVE-2026-5281, đã bị khai thác ngoài thực tế

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
128
1.762 bài viết
Chrome dính lỗ hổng zero-day CVE-2026-5281, đã bị khai thác ngoài thực tế
WhiteHat Team
Google vừa chính thức phát hành bản cập nhật bảo mật khẩn cấp cho trình duyệt Chrome nhằm khắc phục hàng loạt lỗ hổng, đáng chú ý nhất là một lỗi Zero-day cực kỳ nghiêm trọng đang bị tin tặc khai thác trong thực tế
1775118749197.png

Tâm điểm của đợt cập nhật lần này là lỗ hổng được định danh CVE-2026-5281, thuộc nhóm lỗi “use-after-free” phát sinh trong thành phần Dawn (một thư viện mã nguồn mở phục vụ việc triển khai tiêu chuẩn WebGPU trên Chrome).

Về mặt kỹ thuật, lỗi "use-after-free" xảy ra khi một chương trình tiếp tục truy cập vào vùng bộ nhớ đã được giải phóng. Điều này tạo điều kiện cho kẻ tấn công can thiệp vào bộ nhớ và thực thi các đoạn mã độc hại. Theo National Vulnerability Database, lỗ hổng này cho phép kẻ tấn công từ xa thực hiện các hành vi thực thi mã tùy ý nếu chúng kiểm soát được tiến trình render của trình duyệt thông qua một trang HTML được thiết kế đặc biệt. Mặc dù điểm số CVSS chính thức chưa được công bố, nhưng mức độ rủi ro được đánh giá là rất cao do lỗ hổng đã có các cuộc khai thác thực tế được ghi nhận​

Cơ chế khai thác diễn ra như thế nào?

Quy trình khai thác CVE-2026-5281 diễn ra qua nhiều bước liên hoàn và có thể thực hiện hoàn toàn âm thầm. Đầu tiên, kẻ tấn công dẫn dụ nạn nhân truy cập vào một trang web độc hại chứa mã HTML đặc biệt nhằm kích hoạt lỗi trong thư viện Dawn.

Khi trình duyệt xử lý nội dung trang web, lỗi bộ nhớ bị kích hoạt, cho phép hacker ghi đè dữ liệu vào vùng nhớ. Nếu kết hợp thành công với việc chiếm quyền trong tiến trình render, kẻ tấn công có thể:​
  • Thực thi mã tùy ý trên máy tính của nạn nhân.​
  • Vượt qua các cơ chế "sandbox" bảo mật của trình duyệt.​
  • Tạo tiền đề để triển khai các phần mềm độc hại (payload) tiếp theo.​
Đáng chú ý, toàn bộ quá trình này có thể diễn ra ngay khi người dùng vừa truy cập trang web mà không cần bất kỳ sự tương tác hay xác nhận sâu nào từ phía họ.​

Mức độ nguy hiểm và phạm vi ảnh hưởng

Trình duyệt Chrome hiện là một trong những phần mềm phổ biến nhất thế giới, do đó phạm vi ảnh hưởng là cực kỳ rộng, bao gồm:​
  • Người dùng cá nhân​
  • Doanh nghiệp sử dụng Chrome làm trình duyệt chính​
  • Các hệ thống phụ thuộc Chromium​
Ngoài Chrome, các trình duyệt dựa trên Chromium như Microsoft Edge, Brave, Opera hay Vivaldi cũng có khả năng bị ảnh hưởng nếu chưa cập nhật bản vá tương ứng. Đây đã là lỗ hổng Zero-day thứ tư của Chrome bị khai thác chỉ trong vài tháng đầu năm 2026, cho thấy trình duyệt web đang trở thành mục tiêu ưu tiên hàng đầu của các nhóm tội phạm mạng​

Rủi ro và hậu quả khi bị khai thác

Nếu bị khai thác thành công, hệ thống của người dùng có thể đối mặt với nhiều nguy cơ nghiêm trọng:​
  • Bị cài mã độc, phần mềm gián điệp​
  • Đánh cắp dữ liệu cá nhân, tài khoản, cookie​
  • Chiếm quyền điều khiển trình duyệt hoặc hệ thống​
  • Làm bàn đạp tấn công sâu vào mạng nội bộ​
Trong môi trường doanh nghiệp, một máy bị khai thác có thể dẫn đến nguy cơ lây lan và xâm nhập toàn hệ thống.​

Cách phòng tránh và khắc phục

Google đã phát hành bản vá cho lỗ hổng này trong các phiên bản Chrome mới nhất:​
  • Windows và macOS: 146.0.7680.177 / 178​
  • Linux: 146.0.7680.177​
Người dùng cần kiểm tra và cập nhật trình duyệt ngay lập tức bằng cách vào phần “Giới thiệu Chrome” và khởi động lại trình duyệt sau khi cập nhật.

Ngoài ra, cần lưu ý:​
  • Luôn cập nhật trình duyệt và hệ điều hành​
  • Tránh truy cập các website không rõ nguồn gốc​
  • Hạn chế mở các link lạ từ email hoặc mạng xã hội​
  • Doanh nghiệp cần giám sát lưu lượng web và hành vi bất thường​

Khuyến nghị từ chuyên gia an ninh mạng

Các chuyên gia nhận định rằng xu hướng khai thác lỗ hổng trình duyệt đang ngày càng tinh vi, đặc biệt là các lỗi liên quan đến bộ nhớ như use-after-free. Để giảm thiểu rủi ro, người dùng và tổ chức cần:​
  • Cập nhật phần mềm ngay khi có bản vá​
  • Áp dụng mô hình “zero trust” với nội dung web​
  • Triển khai các giải pháp bảo vệ endpoint​
  • Theo dõi cảnh báo từ nhà cung cấp và cơ quan an ninh mạng​
Sự xuất hiện liên tiếp của các lỗ hổng zero-day trong Chrome cho thấy trình duyệt web không còn đơn thuần là công cụ truy cập Internet mà đã trở thành một mục tiêu tấn công trọng yếu. Việc chậm cập nhật hoặc chủ quan khi lướt web có thể khiến người dùng vô tình mở cửa cho các cuộc tấn công nguy hiểm.​
Theo The Hacker News
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Google phát hành bản cập nhật Chrome khẩn cấp nhằm khắc phục 8 lỗ hổng nguy hiểm
  • Chrome phát hành bản cập nhật khẩn cấp, chặn hai lỗ hổng zero-day nguy hiểm
  • Google phát hành Chrome 146 khắc phục 29 lỗ hổng, cảnh báo lỗi WebML nghiêm trọng
  • Chrome vá khẩn 3 lỗ hổng mức độ cao, nguy cơ thực thi mã từ xa
  • Google vá lỗ hổng zero-day đầu tiên năm 2026 trên Chrome đang bị khai thác
  • Chrome vá 11 lỗ hổng nghiêm trọng, ngăn nguy cơ thực thi mã từ xa
    • Thẻ
    chrome chromium cve-2026-5281
    Bên trên