Khẩn cấp: Chrome vá 3 lỗ hổng CVE nghiêm trọng, RCE tiềm ẩn

Google đã công bố một bản cập nhật bảo mật quan trọng cho trình duyệt Chrome, nâng cấp kênh Stable lên phiên bản 145.0.7632.159/160 cho Windows và Mac, cùng 145.0.7632.159 cho Linux. Bản cập nhật này giải quyết tổng cộng 10 lỗ hổng bảo mật, trong đó có ba lỗ hổng được xếp hạng Nghiêm Trọng. Quá trình triển khai bản vá này đang diễn ra dần dần đến người dùng trong những ngày và tuần tới.

Bản phát hành này tuân theo quy trình tiết lộ có trách nhiệm từ các nhà nghiên cứu bảo mật độc lập và các nhóm nội bộ của Google. Các khoản tiền thưởng cho việc phát hiện lỗi (bug bounty) đã đạt tới 33.000 USD cho một lỗ hổng CVE duy nhất. Người dùng được khuyến nghị mạnh mẽ nên cập nhật trình duyệt của mình ngay lập tức để đảm bảo an toàn thông tin, vì quyền truy cập vào thông tin chi tiết đầy đủ về các lỗi vẫn bị hạn chế cho đến khi đa số người dùng nhận được bản sửa lỗi.

Các Lỗ Hổng CVE Nghiêm Trọng Được Vá

Trong số 10 lỗ hổng được vá, ba lỗ hổng có mức độ nghiêm trọng được đánh giá là Critical (Nghiêm trọng). Đây là những điểm yếu có thể bị khai thác để gây ra tác động đáng kể đến hệ thống.

CVE-2026-3536: Lỗi Tràn Số Nguyên trong ANGLE

CVE-2026-3536 là một lỗ hổng CVE nghiêm trọng, được mô tả là lỗi tràn số nguyên (integer overflow) trong lớp đồ họa ANGLE của Chrome. Lỗi này đã được nhà nghiên cứu cinzinga báo cáo vào ngày 18 tháng 2 năm 2026. Google đã trao khoản tiền thưởng 33.000 USD cho báo cáo này, phản ánh mức độ nghiêm trọng và tiềm năng bị khai thác của lỗ hổng.

Lỗi tràn số nguyên (integer overflow) xảy ra khi một phép tính tạo ra giá trị lớn hơn khả năng lưu trữ của biến, dẫn đến việc biến lưu trữ một giá trị không chính xác, thường là một số rất nhỏ hoặc âm. Trong ngữ cảnh của ANGLE, điều này có thể dẫn đến việc ghi dữ liệu ngoài giới hạn bộ nhớ được cấp phát, tạo cơ hội cho kẻ tấn công thực thi mã độc từ xa (remote code execution) hoặc vượt qua cơ chế bảo vệ sandbox.

CVE-2026-3537: Vấn đề Vòng Đời Đối Tượng trong PowerVR

CVE-2026-3537 là một lỗ hổng CVE có mức độ nghiêm trọng Critical khác, liên quan đến vấn đề vòng đời đối tượng (object lifecycle issue) trong PowerVR. Lỗi này được Zhihua Yao từ KunLun Lab báo cáo vào ngày 8 tháng 1 năm 2026 và đã mang lại phần thưởng 32.000 USD.

Các vấn đề về vòng đời đối tượng thường phát sinh khi một đối tượng được giải phóng trong bộ nhớ trong khi vẫn còn các tham chiếu đến nó. Điều này có thể dẫn đến việc sử dụng bộ nhớ sau khi giải phóng (use-after-free), cho phép kẻ tấn công điều khiển dữ liệu tại vị trí bộ nhớ đã được giải phóng và tiềm năng thực hiện các cuộc tấn công phức tạp để giành quyền kiểm soát hệ thống.

CVE-2026-3538: Lỗi Tràn Số Nguyên trong Skia

Lỗi nghiêm trọng thứ ba là CVE-2026-3538, một lỗ hổng CVE tràn số nguyên khác, nhưng lần này nằm trong công cụ đồ họa Skia. Lỗi này được Symeon Paraschoudis báo cáo vào ngày 17 tháng 2 năm 2026. Tương tự như CVE-2026-3536, lỗi tràn số nguyên trong Skia cũng có thể tạo điều kiện cho các cuộc tấn công bộ nhớ, tiềm ẩn nguy cơ thực thi mã từ xa và vượt qua sandbox.

Các Lỗ Hổng Khác và Phạm Vi Ảnh Hưởng

Bảy lỗ hổng còn lại được đánh giá ở mức độ High (Cao) và trải rộng trên nhiều hệ thống con của Chrome, bao gồm:

• V8 (công cụ JavaScript)
• WebAssembly
• CSS (Cascading Style Sheets)
• Navigation (điều hướng trình duyệt)
• WebAudio (API âm thanh web)
• WebCodecs (API codec web)

Phạm vi rộng lớn của các thành phần bị ảnh hưởng, từ kết xuất đồ họa (ANGLE, Skia, PowerVR), thực thi JavaScript (V8), đa phương tiện (WebAudio, WebCodecs) đến các tiêu chuẩn web (CSS, WebAssembly), phản ánh bề mặt tấn công rộng mà các trình duyệt hiện đại phơi bày. Đây là một thách thức lớn trong việc duy trì an ninh mạng toàn diện cho trình duyệt.

Bản Chất Kỹ Thuật của Lỗ Hổng và Ảnh Hưởng

Các lỗi tràn số nguyên (integer overflow) và tràn bộ đệm heap (heap buffer overflow) là những loại lỗ hổng thường xuyên bị khai thác. Chúng có thể cho phép kẻ tấn công ghi đè lên các vùng bộ nhớ quan trọng, từ đó đạt được:

• Thực thi mã từ xa (Remote Code Execution – RCE): Kẻ tấn công có thể chạy mã tùy ý trên hệ thống của nạn nhân.
• Vượt qua Sandbox (Sandbox Escapes): Phá vỡ các rào cản bảo mật của trình duyệt, cho phép mã độc truy cập vào các tài nguyên hệ thống bị cấm.

Những lỗ hổng này đặc biệt nguy hiểm vì chúng có thể bị kích hoạt chỉ bằng cách người dùng truy cập vào một trang web độc hại, không yêu cầu tương tác bổ sung nào từ phía nạn nhân.

Quy Trình Phát Hiện Lỗ Hổng của Google

Để tăng cường bảo mật, Google sử dụng một số công cụ phát hiện tự động trong quy trình phát triển của mình. Các công cụ này giúp phát hiện các vấn đề an toàn bộ nhớ trước khi chúng đến kênh Stable:

• AddressSanitizer: Phát hiện các lỗi truy cập bộ nhớ như use-after-free, double-free, buffer overflow/underflow.
• MemorySanitizer: Phát hiện việc sử dụng dữ liệu không được khởi tạo.
• libFuzzer: Một thư viện fuzzing trong quá trình để tìm kiếm lỗi.
• AFL (American Fuzzy Lop): Một công cụ fuzzing thông minh để khám phá các lỗi.

Việc kết hợp các công cụ này cùng với chương trình tiền thưởng lỗi (bug bounty program) khuyến khích các nhà nghiên cứu bảo mật bên ngoài giúp Google duy trì một môi trường trình duyệt an toàn hơn.

Khuyến Nghị và Cập Nhật Bản Vá Bảo Mật Khẩn Cấp

Mặc dù Google chưa tiết lộ bất kỳ bằng chứng nào về việc khai thác tích cực đối với bất kỳ trong số mười lỗ hổng CVE này tại thời điểm hiện tại, nhưng xếp hạng Critical của ba lỗi nghiêm trọng khiến việc cập nhật bản vá kịp thời trở thành ưu tiên hàng đầu cho tất cả người dùng Chrome trên mọi nền tảng.

Để bảo vệ hệ thống của mình khỏi các mối đe dọa tiềm ẩn, người dùng cần thực hiện các bước sau:

1. Mở trình duyệt Google Chrome.
2. Truy cập vào Settings (Cài đặt) thông qua biểu tượng ba chấm ở góc trên bên phải.
3. Chọn Help (Trợ giúp) và sau đó About Google Chrome (Giới thiệu về Google Chrome).
4. Trình duyệt sẽ tự động kiểm tra và cài đặt bản vá bảo mật mới nhất.
5. Khởi động lại trình duyệt để hoàn tất quá trình cập nhật.

Thông tin chi tiết về các bản vá này có thể được tìm thấy trên blog phát hành Chrome của Google: chromereleases.googleblog.com. Việc duy trì các bản vá bảo mật mới nhất là yếu tố cốt lõi để đảm bảo an toàn cho trải nghiệm duyệt web và bảo vệ dữ liệu cá nhân.