Chrome phát hành bản cập nhật khẩn cấp, chặn hai lỗ hổng zero-day nguy hiểm

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
128
1.691 bài viết
Chrome phát hành bản cập nhật khẩn cấp, chặn hai lỗ hổng zero-day nguy hiểm
WhiteHat Team
Google vừa phát hành bản cập nhật khẩn cấp cho trình duyệt Google Chrome nhằm khắc phục hai lỗ hổng bảo mật nghiêm trọng đang bị khai thác ngoài thực tế. Bản vá được triển khai cho kênh Stable, nâng phiên bản Chrome lên 146.0.7680.75/76 đối với Windows và macOS, và 146.0.7680.75 dành cho Linux. Do cả hai lỗ hổng đã xuất hiện mã khai thác trong môi trường thực tế, Google khuyến cáo người dùng cần cập nhật trình duyệt ngay lập tức để giảm nguy cơ bị xâm nhập hệ thống.
Chrome.png

Lỗ hổng đầu tiên được định danh CVE-2026-3909, thuộc loại ghi ngoài vùng nhớ trong Skia, thành phần chịu trách nhiệm xử lý và hiển thị đồ họa 2D trong Chrome. Các lỗi ghi vượt vùng đệm dạng này có thể làm hỏng cấu trúc bộ nhớ của ứng dụng, tạo điều kiện để kẻ tấn công ghi dữ liệu ra ngoài phạm vi cho phép. Trong nhiều kịch bản khai thác, lỗi bộ nhớ như vậy có thể bị lợi dụng để thực thi mã tùy ý trên hệ thống nạn nhân hoặc khiến trình duyệt bị treo, sập. Lỗ hổng được các nhà nghiên cứu của Google phát hiện và báo cáo vào ngày 10/3/2026, song chi tiết kỹ thuật vẫn tạm thời bị hạn chế công bố nhằm tránh nguy cơ bị khai thác rộng rãi trước khi người dùng kịp cập nhật.

Bản vá thứ hai xử lý lỗ hổng CVE-2026-3910, một lỗi triển khai không phù hợp trong V8 JavaScript engine, công cụ thực thi JavaScript cốt lõi của Chrome. Các lỗi trong V8 từ lâu đã là mục tiêu ưa thích của tin tặc, bởi nếu khai thác thành công, chúng có thể được sử dụng như bước đệm để vượt qua cơ chế sandbox của trình duyệt và tiến tới kiểm soát sâu hơn hệ thống. Lỗ hổng này cũng được nhóm nghiên cứu của Google phát hiện và báo cáo trong cùng ngày 10/3/2026.

Google cho biết hãng đã ghi nhận sự tồn tại của các mã khai thác cho cả CVE-2026-3909 và CVE-2026-3910 trong môi trường thực tế, cho thấy các lỗ hổng này đã bị tin tặc tận dụng trong các chiến dịch tấn công. Để giảm thiểu rủi ro, người dùng được khuyến nghị truy cập mục Settings → About Chrome để kiểm tra và kích hoạt cập nhật thủ công, sau đó khởi động lại trình duyệt để áp dụng bản vá. Trong môi trường doanh nghiệp, các quản trị viên hệ thống cũng nên ưu tiên triển khai phiên bản 146.0.7680.75 trên toàn bộ thiết bị nhằm hạn chế nguy cơ bị khai thác zero-day.
Theo Security Online
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Google phát hành Chrome 146 khắc phục 29 lỗ hổng, cảnh báo lỗi WebML nghiêm trọng
  • Chrome vá khẩn 3 lỗ hổng mức độ cao, nguy cơ thực thi mã từ xa
  • Google vá lỗ hổng zero-day đầu tiên năm 2026 trên Chrome đang bị khai thác
  • Chrome vá 11 lỗ hổng nghiêm trọng, ngăn nguy cơ thực thi mã từ xa
  • Prompt Poaching: Làn sóng đánh cắp dữ liệu AI ẩn mình trong các tiện ích Chrome
  • Google vá lỗ hổng "WebView" mức độ nghiêm trọng cao trên trình duyệt Chrome 143
    • Thẻ
    146.0.7680.75/76 chrome cve-2026-3909 cve-2026-3910 google chrome skia v8 javascript engine
    Bên trên