Ngay sau khi Google xác nhận một lỗ hổng zero-day trên trình duyệt Google Chrome đã bị tin tặc khai thác, hãng tiếp tục phát đi cảnh báo mới tới khoảng 3,5 tỷ người dùng khi phát hiện thêm 60 lỗ hổng bảo mật khác, trong đó có hai lỗi được xếp vào mức nghiêm trọng. Dù Google đã bắt đầu triển khai bản vá để khắc phục các vấn đề này, người dùng cần lưu ý rằng quá trình cập nhật có thể mất vài ngày, thậm chí vài tuần để được áp dụng đầy đủ trên tất cả thiết bị.
Trong bối cảnh các bản cập nhật bảo mật được phát hành với tần suất dày đặc, không ít người dùng rơi vào trạng thái “mệt mỏi cập nhật”. Tuy nhiên, giới chuyên gia nhấn mạnh việc bỏ qua các bản vá là sai lầm nghiêm trọng. Chẳng hạn, bản cập nhật ngày 31/3 đã xử lý 21 lỗ hổng, bao gồm một lỗi zero-day từng bị khai thác. Đến ngày 7/4, dù không ghi nhận thêm lỗ hổng zero-day, tổng số lỗ hổng được xác nhận đã tăng lên 60, trong đó có 2 lỗi nghiêm trọng và 14 lỗi ở mức cao theo hệ thống phân loại Common Vulnerabilities and Exposures.
Google cũng đã chi tổng cộng 117.000 USD cho các nhà nghiên cứu bảo mật thông qua chương trình săn lỗi, cho thấy mức độ rủi ro tiềm tàng của các lỗ hổng này.
Ảnh minh hoạ
Đáng chú ý, hai lỗ hổng nghiêm trọng đều liên quan đến thành phần học máy trên web của Chrome (WebML), vốn đảm nhiệm việc tăng tốc các tác vụ suy luận AI trong trình duyệt.
Cụ thể, CVE-2026-5858 là lỗi tràn bộ đệm heap, trong khi CVE-2026-5859 là lỗi tràn số nguyên. Theo cơ sở dữ liệu Vulners, việc khai thác CVE-2026-5858 tương đối dễ dàng, có thể thực hiện từ xa mà không cần xác thực. Trong khi đó, CVE-2026-5859 yêu cầu người dùng tương tác để cuộc tấn công thành công.
Mặc dù Chrome có cơ chế cập nhật tự động, người dùng vẫn nên chủ động kiểm tra và cài đặt bản vá càng sớm càng tốt. Có thể thực hiện bằng cách truy cập menu ba chấm, chọn “Trợ giúp” → “Giới thiệu về Google Chrome” để kích hoạt quá trình cập nhật. Sau khi hoàn tất, việc khởi động lại trình duyệt là bước cần thiết để các bản vá có hiệu lực, giúp bảo vệ thiết bị khỏi các lỗ hổng bảo mật đã được phát hiện.
