Lỗ hổng Zero-day CVE-2026-2441 nghiêm trọng trong Chrome
Một bản khai thác proof-of-concept công khai đã được phát hành cho CVE-2026-2441, một lỗ hổng zero-day nghiêm trọng thuộc loại use-after-free (UAF) trong engine Blink CSS của Google Chrome. Google đã xác nhận lỗ hổng này đang bị khai thác tích cực trong thực tế.
Nhà nghiên cứu bảo mật Shaheen Fazim đã báo cáo lỗ hổng vào ngày 11 tháng 02 năm 2026, và Google đã phát hành bản vá khẩn cấp chỉ hai ngày sau đó. Đây được phân loại là lỗ hổng zero-day đầu tiên của Chrome trong năm 2026.
Phân Tích Kỹ Thuật Lỗ Hổng CVE-2026-2441
Bản Chất Lỗ Hổng Use-After-Free
Lỗ hổng CVE-2026-2441 tồn tại trong thành phần CSSFontFeatureValuesMap thuộc engine render Blink của Chrome. Nguyên nhân gốc rễ là một lỗi làm mất hiệu lực của iterator.
Cụ thể, FontFeatureValuesMapIterationSource lưu trữ một con trỏ thô (const FontFeatureAliases* aliases_) tới một HashMap FontFeatureAliases nội bộ. Khi map bị thay đổi trong quá trình lặp (iteration) thông qua các hàm set() hoặc delete(), HashMap sẽ thực hiện rehash, cấp phát bộ nhớ mới và giải phóng khối cũ.
Điều này khiến con trỏ thô trở thành con trỏ lơ lửng (dangling pointer). Các lệnh gọi FetchNextItem() tiếp theo sẽ đọc từ vùng bộ nhớ đã được giải phóng, dẫn đến điều kiện use-after-free.
Cơ Chế Khắc Phục Từ Google
Giải pháp của Google đã thay thế con trỏ thô bằng một bản sao sâu (deep copy) của HashMap. Điều này đảm bảo rằng iterator hoạt động trên một snapshot cô lập của riêng nó, không bị ảnh hưởng bởi quá trình rehash.
Chi Tiết Khai Thác Lỗ Hổng Zero-Day
Kỹ Thuật Proof-of-Concept (PoC) Khai Thác Zero-Day
Bản PoC công khai tại đây kích hoạt lỗi UAF thông qua ba phương pháp riêng biệt:
- Một iterator
entries()kết hợp với vòng lặp thay đổi (mutation loop). - Một vòng lặp
for...ofvới xóa đồng thời và kỹ thuật phun bộ nhớ heap (heap spraying). - Một kỹ thuật dựa trên
requestAnimationFrame, buộc tính toán lại bố cục giữa chừng quá trình lặp.
Mỗi phương pháp khai thác lỗ hổng zero-day này đều kết hợp kỹ thuật tinh chỉnh heap (heap grooming). Kỹ thuật này được thực hiện bằng cách cấp phát trước 50 quy tắc CSS @font-feature-values cùng kích thước. Điều này nhằm tăng khả năng dự đoán bố cục heap để tối ưu hóa quá trình khai thác.
Trên các phiên bản Chrome chưa vá, tiến trình render sẽ gặp sự cố với STATUS_ACCESS_VIOLATION trên Windows hoặc SIGSEGV trên Linux và macOS. Các lỗi này xác nhận việc con trỏ lơ lửng truy cập vào vùng bộ nhớ đã được giải phóng.
Tác Động và Chuỗi Tấn Công Tiềm Năng
Phạm Vi Tác Động Trực Tiếp
Tác động trực tiếp của việc khai thác lỗ hổng zero-day này bị giới hạn trong sandbox của trình render Chrome. Tuy nhiên, nó có thể cho phép:
- Thực thi mã tùy ý trong tiến trình sandboxed.
- Tiết lộ thông tin thông qua việc rò rỉ con trỏ heap của V8 để vượt qua ASLR (Address Space Layout Randomization).
- Đánh cắp thông tin đăng nhập thông qua truy cập
document.cookievàlocalStorage. - Cướp phiên (session hijacking) thông qua việc trích xuất token.
Kết Hợp Sandbox Escape
Khi được kết hợp với một lỗ hổng thoát sandbox (sandbox escape) riêng biệt, lỗ hổng UAF này trở thành mắt xích đầu tiên trong một chuỗi tấn công chiếm quyền kiểm soát hệ thống hoàn toàn. Các kịch bản tương tự đã được quan sát trong các chiến dịch trước đây, bao gồm:
- NSO Pegasus (WebKit UAF).
- Intellexa Predator.
- Các chiến dịch khai thác Chrome 0-day của APT-28.
Phương Thức Phân Phối Khai Thác
Lỗ hổng CVE-2026-2441 có thể bị khai thác thông qua tấn công drive-by download, không yêu cầu tương tác của người dùng ngoài việc truy cập một trang web độc hại. Điều này làm cho nó trở thành phương tiện phù hợp cho các chiến dịch malvertising, tấn công watering hole và spear-phishing.
Biện Pháp Giảm Thiểu và Cập Nhật Bảo Mật
Cảnh Báo Từ CISA và Phiên Bản Vá Lỗi
Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) đã thêm CVE-2026-2441 vào danh mục Các Lỗ hổng Đã Bị Khai Thác (Known Exploited Vulnerabilities – KEV) của mình. Thông tin chi tiết có thể được tìm thấy tại trang CISA KEV.
Người dùng phải ngay lập tức cập nhật Chrome lên phiên bản 145.0.7632.75 hoặc cao hơn trên Windows và macOS, và 144.0.7559.75 hoặc cao hơn trên Linux. Người dùng các trình duyệt dựa trên Chromium khác (như Edge, Brave, Opera, Vivaldi) cũng cần áp dụng các bản vá của nhà cung cấp ngay khi chúng có sẵn.
Cấu Hình Bảo Mật Khuyến Nghị
Các quản trị viên hệ thống nên xác minh rằng tính năng Site Isolation đã được bật. Có thể kiểm tra và cấu hình qua địa chỉ:
chrome://flags/#site-isolation-trial-opt-outNgoài ra, cần kiểm tra tất cả các thiết bị đầu cuối để phát hiện các triển khai Chrome lỗi thời. Việc chủ động quản lý các bản vá và cấu hình là rất quan trọng để bảo vệ chống lại các lỗ hổng zero-day.
