Vào thứ Năm, Google đã phát hành các bản cập nhật bảo mật cho trình duyệt web Chrome của mình để khắc phục hai lỗ hổng có mức độ nghiêm trọng cao mà hãng cho biết đã bị khai thác trong thực tế.
Các lỗ hổng được vá
Danh sách các lỗ hổng như sau:
- CVE-2026-3909 (điểm CVSS: 8.8) - Một lỗ hổng out-of-bounds write trong thư viện đồ họa 2D Skia cho phép kẻ tấn công từ xa thực hiện truy cập bộ nhớ out-of-bounds thông qua một trang HTML được tạo đặc biệt.
- CVE-2026-3910 (điểm CVSS: 8.8) - Một lỗ hổng inappropriate implementation trong công cụ JavaScript và WebAssembly V8 cho phép kẻ tấn công từ xa thực thi mã tùy ý bên trong một sandbox thông qua một trang HTML được tạo đặc biệt.
Cả hai lỗ hổng đều được chính Google phát hiện và báo cáo vào ngày 10 tháng 3 năm 2026. Theo thông lệ trong những trường hợp này, không có chi tiết nào về cách các vấn đề đang bị lạm dụng trong thực tế và ai đứng đằng sau những nỗ lực này. Điều này được thực hiện để ngăn chặn các threat actor khác khai thác các lỗ hổng.
"Google nhận thức được rằng các exploit cho cả CVE-2026-3909 và CVE-2026-3910 đang tồn tại trong thực tế," công ty lưu ý.
Sự phát triển này diễn ra chưa đầy một tháng sau khi Google phát hành các bản sửa lỗi cho một lỗi use-after-free mức độ nghiêm trọng cao trong thành phần CSS của Chrome (CVE-2026-2441, điểm CVSS: 8.8) mà cũng đã bị khai thác như một zero-day. Google đã vá tổng cộng ba lỗ hổng zero-day của Chrome bị vũ khí hóa tích cực kể từ đầu năm.
Cập nhật Chrome để bảo vệ an toàn
Để bảo vệ tối ưu, người dùng nên cập nhật trình duyệt Chrome của mình lên phiên bản 146.0.7680.75/76 cho Windows và Apple macOS, và 146.0.7680.75 cho Linux. Để đảm bảo các bản cập nhật mới nhất được cài đặt, người dùng có thể điều hướng đến Thêm > Trợ giúp > Giới thiệu về Google Chrome và chọn Khởi chạy lại.
Người dùng các trình duyệt dựa trên Chromium khác, như Microsoft Edge, Brave, Opera và Vivaldi, cũng được khuyến nghị áp dụng các bản sửa lỗi ngay khi chúng có sẵn.
