Ảnh minh họa. Cyber Security News

Google tung bản vá khẩn cấp cho Chrome

Theo thông báo từ Google, lỗ hổng này được định danh là CVE-2026-0628, ảnh hưởng đến thành phần WebView tag của Chrome. Lỗi phát sinh do việc thực thi chính sách bảo mật chưa đầy đủ, tạo điều kiện cho kẻ tấn công né tránh các hạn chế an ninh vốn được thiết kế để bảo vệ người dùng và ứng dụng.

Để xử lý vấn đề, Google đã triển khai các phiên bản Chrome mới nhất thông qua kênh Stable, bao gồm:

- Chrome 143.0.7499.192/.193 dành cho Windows và macOS

- Chrome 143.0.7499.192 dành cho Linux

Bản cập nhật đang được phân phối theo từng đợt và sẽ đến tay người dùng trong vài ngày đến vài tuần tới.

WebView là gì và vì sao lỗ hổng này nguy hiểm?

WebView là một thành phần quan trọng của Chrome, cho phép các ứng dụng hiển thị nội dung web trực tiếp bên trong giao diện mà không cần mở trình duyệt. Nhờ WebView, nhiều ứng dụng có thể tích hợp linh hoạt các trang web, dịch vụ trực tuyến hoặc nội dung động.

Tuy nhiên, với mức độ nghiêm trọng cao, lỗ hổng CVE-2026-0628 có thể cho phép tin tặc: vượt qua các cơ chế kiểm soát bảo mật; truy cập trái phép vào dữ liệu người dùng; gây rò rỉ thông tin nhạy cảm và thậm chí thực thi mã độc trong các ứng dụng sử dụng WebView.

Điều này đặc biệt rủi ro với các ứng dụng doanh nghiệp hoặc ứng dụng xử lý dữ liệu người dùng ở quy mô lớn.

Tuân thủ nguyên tắc công bố có trách nhiệm, Google cho biết hãng tạm thời hạn chế quyền truy cập thông tin kỹ thuật chi tiết về lỗ hổng cho đến khi phần lớn người dùng đã cài đặt bản vá. Biện pháp này nhằm ngăn chặn việc tin tặc lợi dụng lỗ hổng trong thời gian người dùng chưa kịp cập nhật.

Google cũng ghi nhận đóng góp từ các nhà nghiên cứu bảo mật bên ngoài, đồng thời khẳng định cam kết hợp tác với cộng đồng an ninh mạng toàn cầu.

Cách Google phát hiện lỗ hổng và khuyến cáo cho người dùng

Trong quá trình phát triển Chrome, Google sử dụng nhiều công cụ và kỹ thuật phát hiện lỗi tiên tiến như AddressSanitizer, MemorySanitizer, UndefinedBehaviorSanitizer, Control Flow Integrity, libFuzzer và AFL để tìm kiếm và khắc phục các điểm yếu bảo mật.

Google khuyến cáo người dùng cập nhật Chrome ngay lập tức bằng cách truy cập:

Settings > Help > About Google Chrome. Trình duyệt sẽ tự động kiểm tra và cài đặt bản cập nhật.

Đối với các tổ chức và doanh nghiệp sử dụng Chrome trong môi trường làm việc, Google nhấn mạnh cần ưu tiên triển khai bản vá này trên toàn bộ hệ thống để giảm thiểu nguy cơ bị tấn công.

Đồng thời, Google tiếp tục kêu gọi các chuyên gia bảo mật báo cáo lỗ hổng thông qua chương trình săn lỗi (bug bounty), coi đây là yếu tố then chốt trong việc bảo vệ người dùng trước các mối đe dọa trên không gian mạng.

An Lâm (Theo Cyber Security News)