Chỉ vài ngày sau khi bắt đầu triển khai bản cập nhật bảo mật khẩn cấp cho người dùng Chrome, Google tiếp tục phát đi cảnh báo mới khi xác nhận một lỗ hổng zero-day vừa bị phát hiện và đã bị khai thác ngoài thực tế. Điều này đồng nghĩa tin tặc có thể đã tận dụng lỗ hổng mang mã CVE-2026-5281 để nhắm tới khoảng 3,5 tỷ người dùng của trình duyệt phổ biến nhất thế giới.
Ở chiều tích cực, Google đã phát hành thêm một bản vá nhằm khắc phục lỗ hổng nghiêm trọng này, cùng với hơn 20 điểm yếu bảo mật khác. Tuy nhiên, quá trình phân phối bản cập nhật có thể kéo dài từ vài ngày đến vài tuần mới đến được toàn bộ người dùng.
Dù vậy, người dùng vẫn có thể chủ động kiểm tra và cài đặt bản vá ngay lập tức theo hướng dẫn thủ công. Trong thời gian chờ đợi, dưới đây là những thông tin đáng chú ý về lỗ hổng CVE-2026-5281.
Ảnh minh hoạ
Những gì đã biết về lỗ hổng zero-day CVE-2026-5281
Các lỗ hổng zero-day đang xuất hiện ngày càng thường xuyên trên Chrome. Bản vá lần này đánh dấu lỗ hổng thứ tư được Google xử lý chỉ trong quý I/2026, sau các mã CVE-2026-2441 (tháng 2) và CVE-2026-3909, CVE-2026-3910 (ngày 10/3). Trước đó, trong cả năm 2025, Google chỉ ghi nhận tổng cộng 8 lỗ hổng dạng này.
Với CVE-2026-5281, Google vẫn hạn chế công bố chi tiết kỹ thuật nhằm tránh nguy cơ bị khai thác rộng rãi trước khi người dùng cập nhật bản vá. Đại diện nhóm Chrome cho biết thông tin chi tiết sẽ chỉ được mở rộng khi phần lớn người dùng đã được bảo vệ.
Theo các dữ liệu hiện có, đây là lỗ hổng thuộc dạng “use-after-free” (sử dụng bộ nhớ sau khi giải phóng), ảnh hưởng đến thành phần Dawn WebGPU đa nền tảng của Chrome. Nếu bị khai thác thành công, lỗ hổng có thể gây hỏng dữ liệu, làm sập trình duyệt, thậm chí cho phép kẻ tấn công thực thi mã tùy ý thông qua một trang HTML được thiết kế đặc biệt.
Cách cập nhật bản vá bảo mật ngay lập tức
Dù có thể chờ hệ thống tự động cập nhật, người dùng được khuyến nghị chủ động kiểm tra để đảm bảo an toàn, đặc biệt với các lỗ hổng zero-day.
Thao tác thực hiện khá đơn giản:
- Mở menu ba chấm trên trình duyệt Chrome
- Chọn Trợ giúp → Giới thiệu về Google Chrome
- Nếu có bản cập nhật, trình duyệt sẽ tự động tải xuống và cài đặt
Sau khi hoàn tất, hãy khởi động lại trình duyệt theo yêu cầu để áp dụng bản vá. Khi đó, hệ thống sẽ được bảo vệ trước lỗ hổng CVE-2026-5281 cũng như hơn 20 điểm yếu bảo mật khác vừa được Google xử lý.
