Google vừa tung ra bản cập nhật khẩn cấp cho trình duyệt Chrome nhằm khắc phục hai lỗ hổng bảo mật chưa từng được biết đến (zero-day), vốn đã bị tin tặc lợi dụng tấn công trước khi bản vá được phát hành.

Các lỗi này, được theo dõi dưới mã CVE-2026-3909 và CVE-2026-3910, ảnh hưởng trực tiếp đến các thành phần cốt lõi của trình duyệt.

Theo thông lệ, Google tuyên bố sẽ giữ kín các chi tiết kỹ thuật cho đến khi phần lớn người dùng đã hoàn tất cập nhật nhằm tránh việc “vẽ đường cho hươu chạy”.

emvnjbc6.png
Người dùng Google Chrome được khuyến cáo khởi động lại trình duyệt ngay lập tức. Ảnh: LightRocket 

Cụ thể, CVE-2026-3909 là một lỗi ghi ngoài vùng nhớ trong Skia – thư viện đồ họa mà Chrome sử dụng để hiển thị nội dung web và giao diện người dùng. Kẻ tấn công có thể lợi dụng dạng lỗi hỏng bộ nhớ này để đánh sập ứng dụng hoặc tự ý chạy mã độc.

Lỗ hổng thứ hai, CVE-2026-3910, là một vấn đề triển khai không phù hợp trong công cụ V8 JavaScript và WebAssembly, bộ phận chịu trách nhiệm thực thi các tập lệnh trên trang web.

Lỗi V8 đặc biệt có giá trị với giới tin tặc vì chúng chỉ cần lừa mục tiêu truy cập vào một trang web độc hại là có thể kích hoạt cuộc tấn công.

Bản vá hiện đã được tích hợp trong bản cập nhật Chrome Stable mới nhất dành cho Windows, macOS và Linux. Người dùng có thể kiểm tra thủ công trong phần cài đặt và bắt buộc phải khởi động lại trình duyệt để hoàn tất.

Sự việc nghiêm trọng đến mức Cơ quan An ninh Mạng và Cơ sở Hạ tầng Mỹ (CISA) đã lập tức đưa cả hai mã lỗi này vào danh mục Các lỗ hổng bị khai thác đã biết (KEV).

Screenshot 20251007 115418 TikTok

Mall) Loa Kiểm Âm Bluetooth EDIFIER MR3/MR5 I Công Suất 36W | Bluetooth 5.4 |

Việc này đóng vai trò như một lời xác nhận chính thức từ cấp chính phủ về việc các lỗ hổng đang bị sử dụng trong các cuộc tấn công thực tế.

CISA cũng kích hoạt Chỉ thị Hoạt động Ràng buộc, bắt buộc các cơ quan liên bang phải khắc phục lỗ hổng trong vòng 21 ngày.

Dù chỉ thị này chỉ áp dụng cho các cơ quan chính phủ, CISA phát đi thông điệp cứng rắn tới khối tư nhân: “Chúng tôi khuyến cáo mạnh mẽ tất cả các tổ chức giảm thiểu rủi ro bị tấn công mạng bằng cách ưu tiên khắc phục kịp thời”.

Cơ quan này nhấn mạnh, dựa trên dữ liệu lịch sử từ năm 2019, chưa đến 4% lỗ hổng bảo mật được tin tặc khai thác trong thực tế, nên những lỗi lọt vào danh sách này phải là ưu tiên xử lý hàng đầu.

Hướng dẫn kiểm tra và cập nhật Google Chrome thủ công để vá lỗi

Mở trình duyệt Chrome, nhấp vào biểu tượng ba dấu chấm ở góc trên cùng bên phải màn hình.

Di chuột đến mục Trợ giúp (Help) và chọn Giới thiệu về Google Chrome (About Google Chrome).

Screenshot 20251011 114735 TikTok

Bộ phát wifi 4G di động mini ROOSEE M610, chuẩn wifi 6

Hệ thống sẽ tự động kiểm tra và tải xuống bản cập nhật bảo mật mới nhất (phiên bản 146.0.7680.75/76 đối với Windows/Mac và 146.0.7680.75 đối với Linux).

Nhấp vào nút Chạy lại (Relaunch) hiển thị trên màn hình để khởi động lại trình duyệt và hoàn tất quá trình vá lỗi.

(Theo Forbes, The Register)

Meta vô hiệu hóa 150.000 tài khoản lừa đảo từ Đông Nam ÁMeta vừa vô hiệu hóa 150.000 tài khoản liên quan đến các trung tâm lừa đảo ở Đông Nam Á, đồng thời ra mắt nhiều công cụ cảnh báo mới trên Facebook, WhatsApp và Messenger.