Google đã khẩn cấp phát hành bản vá cho một lỗ hổng zero-day nghiêm trọng trong trình duyệt Chrome, xác nhận rằng lỗ hổng này đang bị khai thác tích cực trong thực tế. Lỗ hổng được theo dõi với mã định danh CVE-2026-2441, là một lỗi use-after-free trong cơ chế xử lý CSS của trình duyệt, được báo cáo bởi nhà nghiên cứu độc lập Shaheen Fazim vào ngày 11 tháng 2 năm 2026.

Công ty đã công bố vấn đề này cùng với bản cập nhật kênh Stable mới nhất, nhấn mạnh sự tồn tại của một exploit và kêu gọi người dùng cập nhật ngay lập tức để giảm thiểu các rủi ro bảo mật. Đây là một động thái cần thiết để đối phó với mối đe dọa nghiêm trọng từ lỗ hổng này.

Phân tích Kỹ thuật Lỗ hổng CVE-2026-2441

Bản chất Lỗi Use-After-Free (UAF)

CVE-2026-2441 được phân loại là một lỗi use-after-free (UAF) trong quá trình xử lý CSS của Google Chrome. Lỗi UAF xảy ra khi một chương trình cố gắng truy cập hoặc sử dụng lại một vùng bộ nhớ đã được giải phóng (deallocated).

Khi bộ nhớ được giải phóng, nó có thể được cấp phát lại cho một đối tượng khác. Nếu chương trình cũ vẫn giữ một con trỏ đến vùng bộ nhớ đó và cố gắng sử dụng nó, nó có thể ghi đè dữ liệu của đối tượng mới hoặc truy xuất dữ liệu không hợp lệ.

Đây là một loại lỗi suy thoái bộ nhớ phổ biến, thường xuất phát từ việc quản lý vòng đời đối tượng không đúng cách trong các công cụ dựng hình (rendering engines) của trình duyệt. Việc một lỗ hổng zero-day như vậy bị phát hiện và khai thác cho thấy sự tinh vi của các tác nhân đe dọa.

Các lỗ hổng UAF có thể dẫn đến sự cố ứng dụng, thực thi mã tùy ý hoặc leo thang đặc quyền. Để tìm hiểu thêm về lỗ hổng use-after-free, độc giả có thể tham khảo thông tin chi tiết về loại lỗ hổng này.

Mã định danh CVE và Mức độ Nghiêm trọng

Lỗ hổng này được gán mã CVE-2026-2441 và được Google xác nhận có mức độ nghiêm trọng cao. Việc xếp hạng cao cùng với xác nhận về việc bị khai thác tích cực trong thực tế cho thấy đây là một mối đe dọa bảo mật cấp bách.

Google đã hạn chế công bố đầy đủ chi tiết lỗi theo chính sách của họ đối với các lỗ hổng đang bị khai thác tích cực. Mục đích là để đảm bảo đa số người dùng có thời gian cập nhật trước khi các chi tiết khai thác được phổ biến rộng rãi hơn, giảm thiểu rủi ro bị lạm dụng.

Tác động và Khai thác Lỗ hổng Zero-day

Nguy cơ Chiếm quyền Điều khiển Từ xa (RCE)

Các phiên bản Chrome trước khi được vá vẫn tồn tại nguy cơ cao bị tấn công mạng thông qua thực thi mã từ xa (Remote Code Execution – RCE). Kẻ tấn công có thể lợi dụng lỗi suy thoái bộ nhớ này để thực thi mã tùy ý trong ngữ cảnh của trình duyệt thông qua nội dung web độc hại.

Thực thi mã từ xa có nghĩa là kẻ tấn công có khả năng chạy các lệnh hoặc chương trình trên hệ thống của nạn nhân mà không cần truy cập vật lý. Điều này có thể dẫn đến cài đặt mã độc, đánh cắp dữ liệu, hoặc kiểm soát hoàn toàn trình duyệt và sau đó là hệ thống.

Khai thác Zero-day và Khả năng Leo thang Đặc quyền

Các tác nhân đe dọa đã vũ khí hóa CVE-2026-2441, chứng tỏ khả năng khai thác zero-day tinh vi. Rất có thể, lỗ hổng này đang được kết hợp với các kỹ thuật khác để thực hiện thoát khỏi sandbox (sandbox escape) và leo thang đặc quyền (privilege escalation) trên các hệ thống mục tiêu.

Thoát sandbox cho phép mã độc vượt qua các cơ chế bảo vệ của trình duyệt, truy cập vào các tài nguyên hệ thống bị hạn chế. Leo thang đặc quyền cho phép kẻ tấn công giành quyền kiểm soát cao hơn trên hệ thống, có thể là quyền root hoặc quyền quản trị viên.

Các hệ điều hành bị ảnh hưởng bao gồm Windows, macOS, và Linux, cho thấy phạm vi tác động rộng lớn của lỗ hổng này trên nhiều nền tảng phổ biến. Việc một lỗ hổng zero-day có thể ảnh hưởng đa nền tảng càng làm tăng mức độ nghiêm trọng của mối đe dọa.

Chiến lược Giảm thiểu và Cập nhật Bảo mật

Yêu cầu Cập nhật Bản vá Khẩn cấp

Google đã triển khai các phiên bản vá lỗi thông qua kênh Stable để khắc phục lỗ hổng này. Người dùng cá nhân và các tổ chức đều được khuyến nghị mạnh mẽ thực hiện cập nhật bản vá ngay lập tức. Đây là biện pháp phòng ngừa hiệu quả nhất.

Việc cập nhật có thể được thực hiện một cách đơn giản thông qua trình cập nhật tích hợp sẵn của Chrome hoặc thông qua các công cụ quản lý tập trung trong môi trường doanh nghiệp.

Các phiên bản đã được vá lỗi:

• Chrome Desktop cho Windows, macOS và Linux: 121.0.6167.164/.165
• Chrome cho Android: 121.0.6167.164
• Chrome WebViews trên Android: 121.0.6167.164

Quá trình triển khai cập nhật bản vá diễn ra dần dần trong vài ngày hoặc vài tuần. Mặc dù tính năng tự động cập nhật được bật theo mặc định, việc kiểm tra cập nhật thủ công vẫn được khuyến nghị đối với các môi trường có mức độ rủi ro cao hoặc hệ thống quan trọng để đảm bảo bảo mật kịp thời. Để kiểm tra và cập nhật thủ công, người dùng có thể điều hướng đến Menu > Help > About Google Chrome trong trình duyệt.

Các tổ chức nên ưu tiên triển khai bản vá cho tất cả các cài đặt Chrome của mình càng sớm càng tốt để bảo vệ hệ thống khỏi lỗ hổng zero-day này. Thông tin chi tiết về bản vá có thể được tìm thấy trên blog phát hành Chrome chính thức: Chrome Releases Blog.

Giám sát và Phát hiện Dấu hiệu Xâm nhập (IoC)

Mặc dù chưa có các dấu hiệu xâm nhập (Indicators of Compromise – IoC) cụ thể nào được công bố rộng rãi liên quan đến CVE-2026-2441, các đội ngũ an ninh nên chủ động thực hiện các biện pháp giám sát liên tục để phát hiện sớm mọi hoạt động bất thường.

Các biện pháp này bao gồm:

• Quét hệ thống để tìm kiếm các hoạt động bất thường hoặc thay đổi cấu hình không được ủy quyền.
• Giám sát lưu lượng mạng để phát hiện các kết nối đáng ngờ đến các miền không xác định hoặc bất thường, đặc biệt là các kết nối ra ngoài không theo quy tắc.
• Theo dõi Danh mục các Lỗ hổng đã bị Khai thác của CISA (CISA’s Known Exploited Vulnerabilities catalog) để nhận được các khuyến nghị và cảnh báo liên bang kịp thời.

Các tác nhân đe dọa có thể phân phối các công cụ khai thác thông qua các chiến dịch lừa đảo (phishing) hoặc các trang web bị xâm nhập. Do đó, việc nâng cao nhận thức người dùng và triển khai các giải pháp bảo mật đầu cuối, bao gồm tường lửa, hệ thống phát hiện và ngăn chặn xâm nhập (IDS/IPS), là rất quan trọng để chống lại các tấn công mạng hiệu quả.

Tầm quan trọng của Bảo mật Trình duyệt

Việc xuất hiện thêm một lỗ hổng zero-day liên quan đến CSS trong lịch sử Chrome một lần nữa nhấn mạnh những thách thức dai dẳng trong việc bảo vệ các công cụ dựng hình của trình duyệt. Trình duyệt web là một trong những điểm vào phổ biến nhất cho các cuộc tấn công, làm cho bảo mật trình duyệt trở thành ưu tiên hàng đầu.

Trong bối cảnh gia tăng các tấn công mạng do động cơ tài chính và các nhóm tấn công tinh vi nhắm mục tiêu vào trình duyệt, việc duy trì các biện pháp bảo mật nghiêm ngặt, bao gồm cả việc liên tục cập nhật bản vá và triển khai các giải pháp bảo vệ, là điều tối quan trọng để bảo vệ thông tin và hệ thống khỏi những lỗ hổng zero-day tương tự.