-
09/04/2020
-
128
-
1.814 bài viết
Google phát hành bản vá khẩn cấp cho 31 lỗ hổng bảo mật trên Chrome
Google vừa phát hành bản cập nhật khẩn cấp cho trình duyệt Chrome nhằm khắc phục tổng cộng 31 lỗ hổng, trong đó có nhiều lỗ hổng nghiêm trọng có thể dẫn đến thực thi mã từ xa trên hệ thống người dùng. Bản cập nhật được phát hành ngày 15/4/2026 trên kênh Stable và đang được triển khai rộng rãi trên toàn cầu. Google khuyến nghị người dùng cập nhật ngay lập tức, do một số lỗ hổng có mức độ nghiêm trọng cao, có khả năng bị khai thác trong môi trường thực tế nếu hệ thống chưa cập nhật bản vá.
Phiên bản Chrome được phát hành trong đợt cập nhật này gồm 147.0.7727.101 và 147.0.7727.102 cho Windows và macOS, cùng 147.0.7727.101 cho Linux. Theo thông tin từ Google, trong số các lỗ hổng được xử lý, có 5 lỗ hổng được xếp hạng nghiêm trọng, ảnh hưởng trực tiếp đến an toàn hệ thống nếu bị khai thác thành công.
Các lỗ hổng nghiêm trọng được Google khắc phục bao gồm:
- CVE-2026-6296: Lỗ hổng tràn bộ đệm heap trong engine đồ họa ANGLE
- CVE-2026-6297: Lỗ hổng use-after-free trong thành phần Proxy
- CVE-2026-6298: Lỗ hổng tràn bộ đệm heap trong thư viện đồ họa 2D Skia
- CVE-2026-6299: Lỗ hổng use-after-free trong cơ chế Prerender
- CVE-2026-6358: Lỗ hổng use-after-free trong thành phần XR (thực tế mở rộng)
Các chuyên gia cho biết nhóm lỗ hổng lần này chủ yếu bắt nguồn từ các lỗi quản lý bộ nhớ, bao gồm tràn bộ đệm heap và use-after-free. Những lỗ hổng này có thể gây hỏng bộ nhớ, từ đó tạo điều kiện cho kẻ tấn công thực thi mã tùy ý trong ngữ cảnh trình duyệt, thậm chí vượt qua cơ chế sandbox của Chrome. Khi bị khai thác thành công, các lỗ hổng này có thể mở đường cho việc thực thi mã độc, đánh cắp dữ liệu nhạy cảm hoặc chiếm quyền kiểm soát hệ thống, khiến cả người dùng cá nhân lẫn môi trường doanh nghiệp đều đối mặt với rủi ro.
Bên cạnh nhóm lỗ hổng mức độ nghiêm trọng cao, bản cập nhật lần này cũng xử lý nhiều vấn đề mức cao, bao gồm lỗi nhầm lẫn kiểu dữ liệu trong JavaScript engine Turbofan và lỗi đọc vượt giới hạn bộ nhớ trong thành phần Media. Những lỗ hổng dạng này thường được kết hợp trong chuỗi khai thác để tăng khả năng vượt qua các lớp bảo vệ của trình duyệt.
Google cho biết chi tiết kỹ thuật của các lỗ hổng sẽ được giữ lại trong một khoảng thời gian nhất định cho đến khi phần lớn người dùng đã cập nhật phiên bản mới. Đây là cơ chế công bố có kiểm soát, nhằm ngăn chặn quá trình dịch ngược mã nguồn để tạo ra các biến thể khai thác mới.
Để tránh rủi ro, người dùng cần cập nhật Chrome ngay bằng cách truy cập mục “About Google Chrome” trong phần cài đặt. Trình duyệt sẽ tự động tải bản cập nhật và yêu cầu khởi động lại để hoàn tất quá trình cài đặt. Việc cập nhật kịp thời chính là biện pháp quan trọng nhất để giảm thiểu rủi ro từ các lỗ hổng đang bị nhắm tới hoặc có khả năng bị khai thác trong thời gian ngắn.
Bên cạnh nhóm lỗ hổng mức độ nghiêm trọng cao, bản cập nhật lần này cũng xử lý nhiều vấn đề mức cao, bao gồm lỗi nhầm lẫn kiểu dữ liệu trong JavaScript engine Turbofan và lỗi đọc vượt giới hạn bộ nhớ trong thành phần Media. Những lỗ hổng dạng này thường được kết hợp trong chuỗi khai thác để tăng khả năng vượt qua các lớp bảo vệ của trình duyệt.
Google cho biết chi tiết kỹ thuật của các lỗ hổng sẽ được giữ lại trong một khoảng thời gian nhất định cho đến khi phần lớn người dùng đã cập nhật phiên bản mới. Đây là cơ chế công bố có kiểm soát, nhằm ngăn chặn quá trình dịch ngược mã nguồn để tạo ra các biến thể khai thác mới.
Để tránh rủi ro, người dùng cần cập nhật Chrome ngay bằng cách truy cập mục “About Google Chrome” trong phần cài đặt. Trình duyệt sẽ tự động tải bản cập nhật và yêu cầu khởi động lại để hoàn tất quá trình cài đặt. Việc cập nhật kịp thời chính là biện pháp quan trọng nhất để giảm thiểu rủi ro từ các lỗ hổng đang bị nhắm tới hoặc có khả năng bị khai thác trong thời gian ngắn.
Theo Cyber Security New