MinhSec
Writer
Google vừa phát hành một bản cập nhật bảo mật quan trọng cho trình duyệt Google Chrome, nhằm khắc phục hàng loạt lỗ hổng có thể bị hacker khai thác. Bản cập nhật nâng cấp kênh Stable lên phiên bản 145.0.7632.159/160 cho Windows và Mac, và 145.0.7632.159 cho Linux. Tổng cộng có 10 lỗ hổng bảo mật được vá trong lần cập nhật này, trong đó có ba lỗi được xếp hạng mức độ nghiêm trọng.
Theo thông báo từ Google, bản vá sẽ được triển khai dần cho người dùng trong vài ngày hoặc vài tuần tới. Tuy nhiên, hãng cũng khuyến cáo người dùng nên kiểm tra và cập nhật trình duyệt ngay lập tức để tránh nguy cơ bị tấn công mạng.
Hai lỗ hổng nghiêm trọng khác là CVE-2026-3537 và CVE-2026-3538. Lỗi thứ hai liên quan đến vòng đời đối tượng trong hệ thống PowerVR, trong khi lỗi thứ ba là lỗi tràn số nguyên trong công cụ đồ họa Skia.
Ngoài ba lỗ hổng nghiêm trọng, còn có bảy lỗ hổng khác được đánh giá ở mức độ cao. Các lỗi này ảnh hưởng đến nhiều thành phần quan trọng của Chrome, bao gồm công cụ JavaScript V8 JavaScript Engine, hệ thống âm thanh WebAudio, chuẩn web WebAssembly, cũng như các thành phần liên quan đến CSS và điều hướng trang web.
Các chuyên gia bảo mật cảnh báo rằng những lỗi như tràn số nguyên hoặc tràn bộ đệm heap thường có thể bị lợi dụng để thực thi mã từ xa hoặc thoát khỏi môi trường sandbox của trình duyệt. Điều này có thể cho phép tin tặc chiếm quyền kiểm soát thiết bị của người dùng nếu họ truy cập vào các trang web độc hại.
Hiện tại, Google cho biết chưa có bằng chứng cho thấy các lỗ hổng mới được phát hiện đang bị khai thác ngoài thực tế. Tuy vậy, do mức độ nghiêm trọng của chúng, việc cập nhật trình duyệt sớm vẫn được xem là biện pháp bảo vệ quan trọng nhất.
Người dùng có thể cập nhật Chrome bằng cách vào phần Cài đặt, chọn Trợ giúp và sau đó truy cập mục “Giới thiệu về Google Chrome”. Các quản trị viên hệ thống trong doanh nghiệp cũng được khuyến nghị triển khai bản cập nhật này trên toàn bộ thiết bị để đảm bảo an toàn cho mạng nội bộ.
Theo thông báo từ Google, bản vá sẽ được triển khai dần cho người dùng trong vài ngày hoặc vài tuần tới. Tuy nhiên, hãng cũng khuyến cáo người dùng nên kiểm tra và cập nhật trình duyệt ngay lập tức để tránh nguy cơ bị tấn công mạng.
Các lỗ hổng nghiêm trọng có thể bị khai thác
Trong số các lỗi được khắc phục, đáng chú ý nhất là lỗ hổng bảo mật mang mã CVE-2026-3536. Đây là lỗi tràn số nguyên trong lớp đồ họa ANGLE của Chrome, có thể dẫn đến việc thực thi mã độc nếu bị khai thác đúng cách. Lỗ hổng này được một nhà nghiên cứu bảo mật có biệt danh cinzinga phát hiện và đã nhận phần thưởng lên tới 33.000 USD từ chương trình săn lỗi của Google.Hai lỗ hổng nghiêm trọng khác là CVE-2026-3537 và CVE-2026-3538. Lỗi thứ hai liên quan đến vòng đời đối tượng trong hệ thống PowerVR, trong khi lỗi thứ ba là lỗi tràn số nguyên trong công cụ đồ họa Skia.
Ngoài ba lỗ hổng nghiêm trọng, còn có bảy lỗ hổng khác được đánh giá ở mức độ cao. Các lỗi này ảnh hưởng đến nhiều thành phần quan trọng của Chrome, bao gồm công cụ JavaScript V8 JavaScript Engine, hệ thống âm thanh WebAudio, chuẩn web WebAssembly, cũng như các thành phần liên quan đến CSS và điều hướng trang web.
Các chuyên gia bảo mật cảnh báo rằng những lỗi như tràn số nguyên hoặc tràn bộ đệm heap thường có thể bị lợi dụng để thực thi mã từ xa hoặc thoát khỏi môi trường sandbox của trình duyệt. Điều này có thể cho phép tin tặc chiếm quyền kiểm soát thiết bị của người dùng nếu họ truy cập vào các trang web độc hại.
Cập nhật ngay để tránh rủi ro bảo mật
Google cho biết hãng sử dụng nhiều công cụ tự động để phát hiện lỗi trong quá trình phát triển Chrome, bao gồm AddressSanitizer, MemorySanitizer, libFuzzer và AFL. Những công cụ này giúp phát hiện các vấn đề liên quan đến bộ nhớ trước khi phần mềm được phát hành rộng rãi.Hiện tại, Google cho biết chưa có bằng chứng cho thấy các lỗ hổng mới được phát hiện đang bị khai thác ngoài thực tế. Tuy vậy, do mức độ nghiêm trọng của chúng, việc cập nhật trình duyệt sớm vẫn được xem là biện pháp bảo vệ quan trọng nhất.
Người dùng có thể cập nhật Chrome bằng cách vào phần Cài đặt, chọn Trợ giúp và sau đó truy cập mục “Giới thiệu về Google Chrome”. Các quản trị viên hệ thống trong doanh nghiệp cũng được khuyến nghị triển khai bản cập nhật này trên toàn bộ thiết bị để đảm bảo an toàn cho mạng nội bộ.
Nguồn: cybersecuritynews
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
Sửa lần cuối bởi điều hành viên: