Cảnh báo khẩn: Lỗ hổng Zero-day trên Chrome V8 (CVE-2026-11645) đang bị khai thác thực tế

Google vừa chính thức phát hành các bản cập nhật bảo mật quan trọng nhằm khắc phục 74 lỗ hổng, trong đó đáng chú ý nhất là lỗ hổng zero-day mang mã định danh CVE-2026-11645 đang bị khai thác tích cực ngoài thực tế.

Với mức độ nghiêm trọng cao (điểm CVSS 8.8), lỗ hổng này được xác định là lỗi truy cập bộ nhớ ngoài phạm vi (out-of-bounds memory access) nằm trong V8 – công cụ JavaScript và WebAssembly cốt lõi của trình duyệt Chrome. Theo mô tả từ Cơ sở dữ liệu lỗ hổng quốc gia (NVD), lỗi này cho phép kẻ tấn công từ xa thực thi mã tùy ý bên trong sandbox thông qua một trang HTML được thiết kế đặc biệt.

Lỗ hổng này được phát hiện và báo cáo bởi một nhà nghiên cứu bảo mật có biệt danh “303f06e3” vào ngày 27/4/2026. Nhờ việc báo cáo trách nhiệm, nhà nghiên cứu này đã được Google trao thưởng 55.000 USD.

Mặc dù Google xác nhận đã có bằng chứng về việc khai thác CVE-2026-11645 trong thực tế, hãng vẫn giữ kín các chi tiết kỹ thuật nhằm đảm bảo người dùng có đủ thời gian cập nhật bản vá, tránh nguy cơ bị tấn công lan rộng. Đây là lỗ hổng zero-day thứ năm trên Chrome bị khai thác thực tế mà Google phải xử lý kể từ đầu năm 2026.

Khuyến nghị bảo mật:

Để đảm bảo an toàn, người dùng cần cập nhật trình duyệt Chrome lên phiên bản mới nhất ngay lập tức:

• Windows và macOS: Cập nhật lên phiên bản 149.0.7827.102 hoặc 149.0.7827.103.
• Linux: Cập nhật lên phiên bản 149.0.7827.102.

Bạn có thể kiểm tra bằng cách truy cập More (dấu ba chấm) > Help > About Google Chrome và chọn Relaunch để hoàn tất quá trình cập nhật. Đối với người dùng các trình duyệt dựa trên nhân Chromium khác như Microsoft Edge, Brave, Opera hay Vivaldi, hãy chú ý theo dõi và áp dụng các bản vá ngay khi nhà phát triển phát hành.

Nguồn tham khảo: The Hacker News