Google đã chính thức phát hành bản vá bảo mật Chrome phiên bản 146 ra kênh ổn định, cung cấp các bản cập nhật bảo mật quan trọng cho người dùng Windows, Mac và Linux. Bản cập nhật này giải quyết nhiều lỗ hổng nghiêm trọng, tăng cường khả năng phòng thủ của trình duyệt.

Cập Nhật Bảo Mật Google Chrome 146

Trong vài ngày tới, Chrome phiên bản 146.0.7680.71 cho Linux và 146.0.7680.71/72 cho Windows và Mac sẽ được triển khai.

Bản cập nhật này giải quyết tổng cộng 29 lỗ hổng bảo mật. Nhiều lỗ hổng trong số này, nếu không được vá kịp thời, có thể cho phép kẻ tấn công từ xa thực thi mã tùy ý, làm tổn hại tính toàn vẹn của hệ thống hoặc gây ra các điều kiện từ chối dịch vụ (DoS).

Lỗ Hổng CVE Nghiêm Trọng: Heap Buffer Overflow trong WebML

Lỗ hổng nghiêm trọng nhất được khắc phục trong phiên bản này là CVE-2026-3913.

Đây là một lỗi tràn bộ đệm heap (heap buffer overflow) có mức độ nghiêm trọng Critical trong thành phần WebML. Lỗ hổng này được phát hiện bởi nhà nghiên cứu bảo mật Tobias Wienand và đã nhận được khoản tiền thưởng 33.000 USD.

Lỗi tràn bộ đệm heap xảy ra khi một chương trình ghi nhiều dữ liệu vào một vị trí bộ nhớ hơn kích thước được cấp phát cho phép.

Kẻ tấn công có thể khai thác điểm yếu này để ghi đè lên các cấu trúc bộ nhớ liền kề, có khả năng dẫn đến thực thi mã từ xa (remote code execution – RCE) khi người dùng chỉ cần truy cập một trang web độc hại.

Các Lỗ Hổng Mức Độ Cao Khác

Ngoài lỗ hổng nghiêm trọng trên, Google đã vá 11 lỗ hổng có mức độ nghiêm trọng High.

API WebML tiếp tục là mục tiêu thường xuyên trong chu kỳ cập nhật này, với hai lỗi mức độ High bổ sung là CVE-2026-3914 và CVE-2026-3915, mỗi lỗi mang lại khoản tiền thưởng 43.000 USD.

Các bản vá mức độ High quan trọng khác bao gồm các lỗ hổng đọc ngoài giới hạn (out-of-bounds read) và sử dụng sau khi giải phóng (use-after-free – UAF) trên nhiều thành phần trình duyệt khác nhau.

• Out-of-bounds Read: Đọc dữ liệu từ một vị trí bộ nhớ không được cấp phát, có thể dẫn đến rò rỉ thông tin hoặc crash chương trình.
• Use-After-Free (UAF): Xảy ra khi một chương trình cố gắng truy cập vào bộ nhớ đã được giải phóng. Kỹ thuật này thường được kẻ tấn công sử dụng để vượt qua các hộp cát bảo mật (security sandboxes) của trình duyệt.

Khắc Phục Các Vấn Đề Khác

Bản vá bảo mật Chrome 146 cũng giải quyết nhiều vấn đề có mức độ nghiêm trọng Medium và Low.

Các vấn đề này bao gồm từ việc triển khai giao diện người dùng bảo mật không chính xác trong các thành phần như PictureInPicture đến việc thực thi chính sách không đầy đủ trong PDF và DevTools.

Chương Trình Tiền Thưởng Lỗ Hổng Bảo Mật

Google đã chi trả hơn 150.000 USD tiền thưởng cho các nhà nghiên cứu độc lập. Khoản tiền này nhằm ghi nhận công sức của họ trong việc xác định các vấn đề này trước khi chúng có thể bị khai thác rộng rãi.

Việc này giúp tăng cường an toàn thông tin và giảm nguy cơ hệ thống bị xâm nhập.

Thông Tin Chi Tiết và Chiến Lược Bảo Vệ Người Dùng

Để bảo vệ người dùng, Google hạn chế quyền truy cập vào các chi tiết lỗi cụ thể và các liên kết khai thác cho đến khi phần lớn người dùng đã cập nhật trình duyệt của họ. Đây là một chiến lược quan trọng trong việc triển khai bản vá bảo mật Chrome.

Việc hạn chế này ngăn chặn kẻ tấn công đảo ngược kỹ thuật các bản vá để nhắm mục tiêu vào những cá nhân vẫn đang sử dụng phiên bản dễ bị tổn thương.

Trong bối cảnh kẻ tấn công ngày càng nhắm mục tiêu vào các trình duyệt web, các cá nhân và tổ chức cần ưu tiên các cập nhật bảo mật kịp thời để bảo vệ chống lại các mối đe dọa tinh vi. Điều này đặc biệt quan trọng để đối phó với các lỗ hổng CVE mới nổi.

Hướng Dẫn Cập Nhật Google Chrome

Để đảm bảo trình duyệt của bạn được bảo vệ, hãy làm theo các bước sau:

1. Mở Google Chrome.
2. Đi tới menu ba chấm ở góc trên bên phải.
3. Chọn “Trợ giúp” (Help).
4. Nhấp vào “Giới thiệu về Google Chrome” (About Google Chrome).

Trình duyệt sẽ tự động kiểm tra bản cập nhật phiên bản 146 và cài đặt nó. Việc khởi động lại trình duyệt nhanh chóng là bắt buộc để áp dụng các biện pháp bảo vệ mới nhất, củng cố chiến lược phòng thủ theo chiều sâu của bạn chống lại các mối đe dọa an ninh mạng.