Google đã phát hành các bản cập nhật bảo mật để khắc phục 74 lỗ hổng, bao gồm một lỗ hổng đang bị khai thác tích cực trong thực tế.
Lỗ hổng mức độ nghiêm trọng cao, được theo dõi là CVE-2026-11645 (điểm CVSS: 8.8), được mô tả là lỗi truy cập bộ nhớ ngoài phạm vi (out-of-bounds memory access) trong V8, engine JavaScript và WebAssembly của Chrome.
"Lỗi đọc và ghi ngoài phạm vi trong V8 trên Google Chrome các phiên bản trước 149.0.7827.103 cho phép kẻ tấn công từ xa thực thi mã tùy ý bên trong sandbox thông qua một trang HTML được thiết kế đặc biệt," theo mô tả về lỗi này trong Cơ sở dữ liệu Lỗ hổng Quốc gia (NVD) của NIST.
Một nhà nghiên cứu bảo mật có tên "303f06e3" đã được ghi nhận vì đã phát hiện và báo cáo lỗ hổng vào ngày 27 tháng 4 năm 2026. Nhà nghiên cứu này đã được trao phần thưởng bug bounty trị giá 55.000 USD cho việc tiết lộ có trách nhiệm.
Như thường lệ trong các trường hợp này, Google thừa nhận rằng "bản khai thác (exploit) cho CVE-2026-11645 đã tồn tại trong thực tế," nhưng không chia sẻ thêm chi tiết cụ thể để đảm bảo phần lớn người dùng được cập nhật bản vá và ngăn chặn việc khai thác sâu hơn.
Google đã vá 5 lỗ hổng Zero-Day trong năm nay
Với diễn biến mới nhất, Google đã xử lý tổng cộng năm lỗ hổng Chrome Zero-Day bị khai thác tích cực kể từ đầu năm. Danh sách này bao gồm CVE-2026-2441, CVE-2026-3909, CVE-2026-3910 và CVE-2026-5281.
Để được bảo vệ tối ưu, người dùng được khuyên nên cập nhật trình duyệt Chrome lên phiên bản 149.0.7827.102/.103 cho Windows và Apple macOS, và 149.0.7827.102 cho Linux. Để đảm bảo các bản cập nhật mới nhất đã được cài đặt, người dùng có thể truy cập More > Help > About Google Chrome và chọn Relaunch.
Người dùng các trình duyệt dựa trên Chromium khác như Microsoft Edge, Brave, Opera và Vivaldi cũng được khuyến cáo nên áp dụng các bản vá ngay khi chúng có sẵn.