3,5 tỷ người dùng Google Chrome nhận khuyến cáo khẩn

Google vừa tung ra bản cập nhật khẩn cấp cho trình duyệt Chrome nhằm khắc phục hai lỗ hổng bảo mật chưa từng được biết đến (zero-day), vốn đã bị tin tặc lợi dụng tấn công trước khi bản vá được phát hành.

Các lỗi này, được theo dõi dưới mã CVE-2026-3909 và CVE-2026-3910, ảnh hưởng trực tiếp đến các thành phần cốt lõi của trình duyệt.

Theo thông lệ, Google tuyên bố sẽ giữ kín các chi tiết kỹ thuật cho đến khi phần lớn người dùng đã hoàn tất cập nhật nhằm tránh việc "vẽ đường cho hươu chạy".

Người dùng Google Chrome được khuyến cáo khởi động lại trình duyệt ngay lập tức. Ảnh: LightRocket

Cụ thể, CVE-2026-3909 là một lỗi ghi ngoài vùng nhớ trong Skia - thư viện đồ họa mà Chrome sử dụng để hiển thị nội dung web và giao diện người dùng. Kẻ tấn công có thể lợi dụng dạng lỗi hỏng bộ nhớ này để đánh sập ứng dụng hoặc tự ý chạy mã độc.

Lỗ hổng thứ hai, CVE-2026-3910, là một vấn đề triển khai không phù hợp trong công cụ V8 JavaScript và WebAssembly, bộ phận chịu trách nhiệm thực thi các tập lệnh trên trang web.

Lỗi V8 đặc biệt có giá trị với giới tin tặc vì chúng chỉ cần lừa mục tiêu truy cập vào một trang web độc hại là có thể kích hoạt cuộc tấn công.

Bản vá hiện đã được tích hợp trong bản cập nhật Chrome Stable mới nhất dành cho Windows, macOS và Linux. Người dùng có thể kiểm tra thủ công trong phần cài đặt và bắt buộc phải khởi động lại trình duyệt để hoàn tất.

Sự việc nghiêm trọng đến mức Cơ quan An ninh Mạng và Cơ sở Hạ tầng Mỹ (CISA) đã lập tức đưa cả hai mã lỗi này vào danh mục Các lỗ hổng bị khai thác đã biết (KEV).

Việc này đóng vai trò như một lời xác nhận chính thức từ cấp chính phủ về việc các lỗ hổng đang bị sử dụng trong các cuộc tấn công thực tế.

CISA cũng kích hoạt Chỉ thị Hoạt động Ràng buộc, bắt buộc các cơ quan liên bang phải khắc phục lỗ hổng trong vòng 21 ngày.

Dù chỉ thị này chỉ áp dụng cho các cơ quan chính phủ, CISA phát đi thông điệp cứng rắn tới khối tư nhân: "Chúng tôi khuyến cáo mạnh mẽ tất cả các tổ chức giảm thiểu rủi ro bị tấn công mạng bằng cách ưu tiên khắc phục kịp thời".

Cơ quan này nhấn mạnh, dựa trên dữ liệu lịch sử từ năm 2019, chưa đến 4% lỗ hổng bảo mật được tin tặc khai thác trong thực tế, nên những lỗi lọt vào danh sách này phải là ưu tiên xử lý hàng đầu.

(Theo Forbes, The Register)

Du Lam