Chrome Dính Cú Đúp Zero-Day Đang Bị Tấn Công

Chrome Dính Cú Đúp Zero-Day Đang Bị Tấn Công

Chỉ chưa đầy một tháng sau khi vá lỗ hổng Zero-day đầu tiên của năm 2026, Google lại tiếp tục phải đối mặt với một đợt tấn công mới. Hai lỗ hổng nghiêm trọng (đều đạt điểm CVSS 8.8) nằm sâu trong lõi đồ họa và công cụ xử lý mã của Chrome đã bị tin tặc vũ khí hóa, buộc Cơ quan An ninh mạng Mỹ (CISA) phải ra tối hậu thư yêu cầu vá lỗi gấp.

Khác với những loại virus bắt bạn phải tải một tệp tin lạ về máy, cả hai lỗ hổng này đều cho phép kẻ tấn công kiểm soát thiết bị của bạn thông qua một thủ đoạn vô hình và tàn độc hơn rất nhiều: Chỉ cần dụ bạn truy cập vào một trang web (HTML) chứa mã độc do chúng thiết kế. Cụ thể, hai lỗ hổng đó là:

1. CVE-2026-3909 (Lỗi trong lõi đồ họa Skia): Đây là lỗ hổng "ghi ngoài ranh giới bộ nhớ" (Out-of-bounds write) nằm trong Skia - thư viện đồ họa 2D cốt lõi của Chrome. Khi bạn mở trang web độc hại, mã độc sẽ khai thác lỗi xử lý hình ảnh này để tràn vào bộ nhớ máy tính.

2. CVE-2026-3910 (Lỗi "bộ não" V8): Lỗ hổng này nằm ở động cơ JavaScript và WebAssembly V8 (thành phần giúp các trang web hoạt động mượt mà). Bằng cách thao túng cách Chrome đọc hiểu ngôn ngữ web, tin tặc có thể vượt qua "hộp cát" bảo mật (Sandbox) để tự do thực thi mã tùy ý (Arbitrary Code Execution) ngay trên thiết bị của bạn.

Điều khiến đợt cập nhật này trở nên đặc biệt căng thẳng là việc cả hai lỗ hổng đều đang bị khai thác trong thực tế (Exploited in the wild). Tin tặc không hề chờ đợi chúng ta chuẩn bị!

• Các kỹ sư bảo mật của Google đã tự phát hiện ra hai lỗ hổng này vào ngày 10/03/2026 và phải làm việc thâu đêm để tung ra bản vá diện rộng chỉ sau chưa đầy 3 ngày.

• Ngay lập tức, Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) đã đưa cả hai vào Danh sách các lỗ hổng bị khai thác đã biết (KEV), đồng thời yêu cầu các cơ quan liên bang phải vá lỗi triệt để trước hạn chót 27/03/2026.

Đây là lỗ hổng Zero-day thứ 2 và thứ 3 của Chrome chỉ trong quý đầu tiên của năm 2026 (sau lỗ hổng CVE-2026-2441 hồi tháng 2), cho thấy trình duyệt web vẫn là mặt trận tấn công khốc liệt nhất.

3 Bước đảm bảo an toàn cho Chrome trong 30 giây

Sự an toàn của bạn hiện tại chỉ cách đúng vài cú nhấp chuột. Hãy kiểm tra và ép trình duyệt của bạn lên phiên bản an toàn (146.0.7680.75 hoặc .76 đối với Windows/Mac và 146.0.7680.75 đối với Linux) bằng cách sau:

1. Mở Cài đặt: Bấm vào biểu tượng 3 dấu chấm dọc ở góc trên cùng bên phải của cửa sổ Chrome.

2. Kích hoạt bản vá: Kéo xuống chọn Trợ giúp (Help) > Giới thiệu về Google Chrome (About Google Chrome). Trình duyệt sẽ tự động kết nối với máy chủ, tải về bản vá khẩn cấp và hiển thị phần trăm hoàn tất.

3. Nút khởi động sinh tử: Khi quá trình tải xong 100%, một nút Chạy lại (Relaunch) sẽ hiện ra. Bạn bắt buộc phải bấm vào nút này. Đừng tiếc vài tab đang mở dở dang, Chrome sẽ tự động khôi phục nguyên vẹn chúng cho bạn sau khi khởi động lại xong.

Hương - Theo TheHackerNews