Thông thường, Google phát hành bản cập nhật bảo mật theo lịch hàng tuần từ năm 2023. Tuy nhiên, việc hãng tung ra bản vá thứ hai chỉ sau 48 giờ kể từ bản cập nhật trước cho thấy mức độ nghiêm trọng của sự việc lần này. Google xác nhận có ít nhất hai lỗ hổng zero-day đang bị khai thác nhắm vào người dùng Chrome, buộc hãng hành động nhanh chóng. CVE được định nghĩa là Danh mục Lỗ hổng Bảo mật chuẩn quốc tế, cho phép gán mã duy nhất cho mỗi lỗ hổng để theo dõi và khắc phục hiệu quả.

Kể từ phiên bản Chrome 153, Google chuyển sang phát hành bản cập nhật ổn định hai tuần một lần, rút ngắn một nửa so với lịch trình trước. Bản cập nhật ngày 10/3 đã vá 29 lỗ hổng bảo mật, trong khi bản trước đó ra mắt ngày 3/3. Tuy nhiên, hai lỗ hổng zero-day mang mã CVE-2026-3909 và CVE-2026-3910 xuất hiện ngoài thực tế đã khiến Google phải tung bản vá khẩn cấp.

Theo định nghĩa của Microsoft, chỉ cần lỗ hổng được biết trước khi bản vá phát hành thì được coi là zero-day, chứ không nhất thiết phải bị khai thác. Tuy nhiên, theo cách hiểu phổ biến hơn, zero-day được định nghĩa là lỗ hổng đã bị khai thác trước khi bản cập nhật ra mắt và trước khi nhà phát triển nhận biết.

Google xác nhận CVE-2026-3909 và CVE-2026-3910 đã bị khai thác

Chi tiết kỹ thuật đầy đủ về hai lỗ hổng này sẽ được giữ kín cho đến khi phần lớn người dùng nhận bản cập nhật, tuy nhiên một số thông tin công khai sau đây vẫn cần lưu ý.

Thứ nhất cả hai lỗ hổng đều được đánh giá mức độ nghiêm trọng cao theo Hệ thống Đánh giá Lỗ hổng Phổ biển (CVSS) và gây ảnh hưởng trực tiếp đến các phần cốt lõi của trình duyệt Chrome.

Thứ hai, hai lỗ hổng zero-day này được Google phát hiện nội bộ, thay vì nhờ các nhà nghiên cứu bên ngoài như thường lệ. Lí do là vì Google sở hữu một trong những đội ngũ nghiên cứu bảo mật hàng đầu thế giới. Project Zero, được thành lập từ năm 2014, không chỉ tập trung nghiên cứu sản phẩm của Google, mà còn theo dõi các lỗ hổng zero-day trên tất cả các hệ thống phần mềm và phần cứng lớn.

Project Zero cho biết: “Chúng tôi tiến hành nghiên cứu lỗ hổng trên các phần mềm phổ biến như hệ điều hành di động, trình duyệt web và thư viện mã nguồn mở, nhằm khắc phục những lỗ hổng nghiêm trọng, nâng cao hiểu biết về cách các cuộc tấn công dựa trên khai thác diễn ra, và cải thiện cấu trúc bảo mật lâu dài.”

CVE-2026-3909 là lỗ hổng truy cập bộ nhớ ngoài phạm vi (out-of-bounds memory), thường dẫn đến khả năng thực thi mã từ xa nếu bị khai thác. Trong trường hợp này, lỗ hổng nằm ở thư viện đồ họa Skia của Chrome, dùng để hiển thị giao diện người dùng và nội dung web. Tin tặc có thể khai thác lỗ hổng bằng cách dụ người dùng truy cập vào một trang web độc hại.

CVE-2026-3910 xuất hiện trong V8, công cụ JavaScript cốt lõi của Chrome, vốn là mục tiêu ưa thích của tin tặc. Theo OpenCVE, đây là một lỗi triển khai mã nguồn, cho phép “kẻ tấn công từ xa thực thi mã tùy ý trong sandbox thông qua một trang HTML được tạo sẵn.

CISA cảnh báo tất cả tổ chức cần cập nhật ngay Google Chrome

CISA đã thêm hai lỗ hổng này vào Danh mục Lỗ hổng Được Khai thác Thực tế (KEV). Việc này không chỉ xác nhận mức độ sử dụng thực tế của các lỗ hổng trong các cuộc tấn công, mà còn có ý nghĩa quan trọng đối với các cơ quan liên bang và doanh nghiệp tại Mỹ.

CISA nhận định, dựa trên bằng chứng khai thác đang diễn ra, và thực tế những loại lỗ hổng này thường là các phương thức tấn công phổ biến của tin tặc, cả hai CVE đều gây rủi ro đáng kể cho các cơ quan liên bang.

Chỉ thị Hành động Bắt buộc 22-01 (BOD 22-01) nêu rõ: “Khẩn trương khắc phục các lỗ hổng đã bị khai thác là điều cần thiết để bảo vệ hệ thống thông tin liên bang và giảm thiểu các sự cố an ninh mạng.” Chỉ thị này yêu cầu các cơ quan hành chính dân sự liên bang khắc phục hai lỗ hổng trong vòng 21 ngày kể từ khi chúng được đưa vào KEV, nhằm bảo vệ mạng lưới FCEB trước các mối đe dọa đang hoạt động.

Việc coi thông tin bảo mật này là không liên quan đối với các doanh nghiệp hoặc tổ chức khác có thể chưa phản ánh đầy đủ mức độ rủi ro. CISA nhấn mạnh: “Mặc dù BOD 22-01 chỉ áp dụng cho các cơ quan FCEB, CISA vẫn khuyến nghị tất cả các tổ chức giảm thiểu rủi ro tấn công mạng bằng cách ưu tiên khắc phục kịp thời các lỗ hổng trong Danh mục KEV như một phần trong chương trình quản lý lỗ hổng của họ.”

CISA cảnh báo rằng việc bỏ qua khuyến nghị này có thể tiềm ẩn rủi ro. Chương trình quản lý bản cập nhật phụ thuộc vào mức độ rủi ro và yêu cầu vận hành của từng tổ chức, nhưng nếu CISA đánh giá CVE-2026-3909 và CVE-2026-3910 là nghiêm trọng, việc tham khảo hướng dẫn của cơ quan này là cần thiết. CISA cho biết thêm rằng : “Các lỗ hổng đã bị khai thác nên được ưu tiên khắc phục hàng đầu. Dựa trên dữ liệu nghiên cứu lỗ hổng từ năm 2019, dưới 4% tổng số lỗ hổng đã biết từng bị tin tặc khai thác trong thực tế.”

Ảnh minh hoạ

Google chi 81,6 triệu USD cho việc phát hiện lỗ hổng bảo mật

Hai lỗ hổng zero-day gần đây được xác nhận là do Google phát hiện nội bộ. Tuy nhiên, Chương tình Thưởng Phát hiện Lỗ hổng (VRP) của Google, trao thưởng cho các nhà nghiên cứu bên ngoài nhằm phát hiện và công bố lỗ hổng, vẫn tiếp tục hoạt động và bước sang năm thứ 15 vào năm ngoái. Trong thời gian này, chương trình đã chi tổng cộng 81,6 triệu USD cho các nhà nghiên cứu, trong đó riêng năm 2025, tổng số tiền vượt 17 triệu USD. Theo ghi nhận của Tony Mendez - quản lý chương trình kỹ thuật của Google, cùng Dirk Göhmann - chuyên viên kỹ thuật của Google, khoản thưởng lớn nhất trong năm 2025 được trao cho hai nhà nghiên cứu nhờ  “phát hiện lỗi logic trong cơ chế giao tiếp giữa các tiến trình của Chrome, với khả năng khai thác thực tế. Tổng cộng 3.716.750 USD đã được trao cho hơn 100 nhà nghiên cứu bảo mật phát hiện các lỗ hổng ảnh hưởng đến Chrome.

Google duy trì chương trình VRP riêng cho Chrome và năm 2025 còn bổ sung các khoản thưởng cho các lỗ hổng liên quan đến AI. Tuy nhiên, chương trình này không chỉ giới hạn ở AI. Báo cáo cho biết: “20 nhà nghiên cứu hàng đầu của Chrome làm việc trên tất cả các mặt của trình duyệt, từ bảo vệ bộ nhớ và fuzzing, cho đến các vấn đề giao diện người dùng, bao gồm chiếm quyền cấp phép và hiển thị đúng URL cho hai trang web cùng lúc trong chế độ split-view.” Chương trình VRP liên quan đến AI đã chi 350.000 USD kể từ khi ra mắt.

Goole nhấn mạnh, nhờ sự đóng góp của các nhà nghiên cứu nội bộ và bên ngoài, phần lớn lỗ hổng  được phát hiện trước khi bị khai thác. Điều này giúp Chrome trở thành trình duyệt an toàn hơn so với những trình duyệt không có VRP.

Google chia sẻ trong báo cáo: “Mục tiêu của chúng tôi là luôn đi trước các mối đe dọa mới, thích ứng với công nghệ phát triển, và tiếp tục củng cố vị thế bảo mật cho các sản phẩm và dịch vụ Google, điều này chỉ có thể thực hiện được nhờ cộng đồng nghiên cứu bảo mật”.

Người dùng Google Chrome cần làm gì ngay bây giờ?

Nhiều người có thể nghĩ rằng không cần làm gì, bởi Google đã bắt đầu triển khai bản cập nhật bảo mật đến tất cả người dùng. Tuy nhiên, thực tế không đơn giản như vậy. Google cho biết bản cập nhật sẽ được triển khai dần trong vài ngày hoặc vài tuần tới. Sau khi bản cập nhật được gửi đến thiết bị, người dùng cần khởi động lại trình duyệt để bản cập nhật có hiệu lực.

Như đã nhiều lần nhấn mạnh, các lỗ hổng zero-day chưa bao giờ được đánh giá thấp. Người  dùng nên tiến hành theo các bước sau:  Mở menu ba chấm của Chrome →  chọn Trợ giúp → Giới thiệu về Google Chrome, để kiểm tra bản cập nhật (phiên bản 146.0.7680.75/76 cho Windows/Mac và 146.0.7680.75 cho Linux). Nếu chưa có bản cập nhật mới nhất, quá trình tải về và cài đặt sẽ được thực hiện tự động.

                                                                                                                                 Thuý Hằng