-
09/04/2020
-
127
-
1.613 bài viết
Google vá lỗ hổng zero-day đầu tiên năm 2026 trên Chrome đang bị khai thác
Google vừa phát hành bản cập nhật khẩn cấp cho Google Chrome nhằm khắc phục một lỗ hổng zero-day nghiêm trọng đã bị khai thác ngoài thực tế. Đây là lỗ hổng đầu tiên trong năm 2026 được hãng xác nhận bị lợi dụng trước khi có bản vá, làm dấy lên cảnh báo về nguy cơ tấn công thông qua trình duyệt - phần mềm phổ biến trên máy tính cá nhân và doanh nghiệp.
Lỗ hổng gán mã CVE-2026-2441, thuộc nhóm Use-After-Free trong thành phần xử lý CSS của Chrome. Về bản chất kỹ thuật, lỗi Use-After-Free xảy ra khi một vùng bộ nhớ đã được giải phóng nhưng vẫn tiếp tục bị truy cập, tạo điều kiện cho kẻ tấn công thao túng bộ nhớ và thay đổi luồng thực thi chương trình.
Trong trường hợp này, tin tặc có thể tạo một trang HTML độc hại để kích hoạt lỗi khi nạn nhân truy cập, từ đó dẫn tới treo trình duyệt, hỏng bộ nhớ hoặc thậm chí thực thi mã trong bối cảnh sandbox của Chrome.
Dù Chrome được trang bị nhiều cơ chế cô lập và giảm thiểu rủi ro, việc khai thác thành công vẫn có thể dẫn đến các bước tấn công tiếp theo nếu kết hợp với lỗ hổng khác.
Google cho biết đã ghi nhận hoạt động khai thác nhưng chưa công bố chi tiết kỹ thuật để tránh bị lạm dụng thêm trước khi người dùng kịp cập nhật.
Bản vá đã được triển khai cho người dùng Windows, macOS và Linux thông qua kênh Stable. Chrome thường tự động cập nhật khi khởi động lại trình duyệt, tuy nhiên người dùng nên chủ động kiểm tra tại mục About Google Chrome và khởi động lại ngay sau khi hoàn tất cập nhật.
Khi các chiến dịch tấn công ngày càng tinh vi, lỗ hổng zero-day trên trình duyệt luôn là mục tiêu ưu tiên của tin tặc do phạm vi ảnh hưởng rộng. Việc cập nhật kịp thời, hạn chế truy cập liên kết không rõ nguồn gốc và tăng cường giám sát truy cập web là những biện pháp cần thiết để giảm thiểu rủi ro từ các lỗ hổng tương tự trong tương lai.
Trong trường hợp này, tin tặc có thể tạo một trang HTML độc hại để kích hoạt lỗi khi nạn nhân truy cập, từ đó dẫn tới treo trình duyệt, hỏng bộ nhớ hoặc thậm chí thực thi mã trong bối cảnh sandbox của Chrome.
Dù Chrome được trang bị nhiều cơ chế cô lập và giảm thiểu rủi ro, việc khai thác thành công vẫn có thể dẫn đến các bước tấn công tiếp theo nếu kết hợp với lỗ hổng khác.
Google cho biết đã ghi nhận hoạt động khai thác nhưng chưa công bố chi tiết kỹ thuật để tránh bị lạm dụng thêm trước khi người dùng kịp cập nhật.
Bản vá đã được triển khai cho người dùng Windows, macOS và Linux thông qua kênh Stable. Chrome thường tự động cập nhật khi khởi động lại trình duyệt, tuy nhiên người dùng nên chủ động kiểm tra tại mục About Google Chrome và khởi động lại ngay sau khi hoàn tất cập nhật.
Khi các chiến dịch tấn công ngày càng tinh vi, lỗ hổng zero-day trên trình duyệt luôn là mục tiêu ưu tiên của tin tặc do phạm vi ảnh hưởng rộng. Việc cập nhật kịp thời, hạn chế truy cập liên kết không rõ nguồn gốc và tăng cường giám sát truy cập web là những biện pháp cần thiết để giảm thiểu rủi ro từ các lỗ hổng tương tự trong tương lai.
Theo Bleeping Computer