Google cuối cùng đã công bố chi tiết về 79 lỗ hổng bảo mật ảnh hưởng đến trình duyệt Chrome trên Android, Linux, macOS và Windows, sau thông báo đưa ra hôm 12/5 rằng thông tin cụ thể sẽ sớm được cập nhật. Đáng chú ý, trong số này có tới 14 lỗ hổng được đánh giá ở mức “nghiêm trọng”, buộc người dùng cần nhanh chóng cập nhật trình duyệt để đảm bảo an toàn.
Tuy nhiên, Google cho biết bản vá sẽ được triển khai dần trong những ngày hoặc vài tuần tới, thay vì phát hành đồng loạt ngay lập tức. Điều này khiến nhiều người dùng lo ngại về nguy cơ bị tấn công trong thời gian chờ cập nhật. Dù vậy, vẫn có cách để nhận bản vá sớm mà không cần chờ hệ thống tự động phân phối.
Có thể cập nhật Chrome ngay lập tức
Không giống một số vấn đề bảo mật phức tạp khác của Google chưa có hướng xử lý triệt để, việc bảo vệ người dùng Chrome trước các lỗ hổng mới lần này tương đối đơn giản.
Trước đó, Google từng gây chú ý khi thừa nhận một lỗ hổng kiến trúc khiến người dùng Gmail đối mặt nguy cơ bị tấn công mà chưa có giải pháp rõ ràng. Hãng cũng xác nhận sẽ không khắc phục lỗi bỏ qua VPN trên Android 16. Tuy nhiên, với Chrome, Google vẫn duy trì cơ chế cập nhật bảo mật thường xuyên mỗi khi phát hiện lỗ hổng mới.
Ảnh minh họa
Trong bài đăng ngày 12/5, kỹ sư Srinivas Sista của Google đã thông báo về đợt cập nhật bảo mật mới. Đến ngày 15/5, hãng tiếp tục công bố chi tiết toàn bộ 79 lỗ hổng được vá.
Trong số này, 14 lỗ hổng thuộc hệ thống CVE được xếp hạng “nghiêm trọng” theo thang điểm đánh giá lỗ hổng bảo mật. May mắn là hiện chưa có bằng chứng cho thấy các lỗi này đang bị tin tặc khai thác theo hình thức zero-day.
Cách cập nhật Chrome để nhận bản vá ngay
Thông thường, Chrome sẽ tự động tải và cài đặt bản cập nhật khi có sẵn. Tuy nhiên, người dùng có thể chủ động kiểm tra và cập nhật ngay bằng vài thao tác đơn giản:
- Mở Chrome, nhấn vào biểu tượng ba chấm ở góc trên bên phải.
- Chọn Trợ giúp → Giới thiệu về Google Chrome.
- Chrome sẽ tự động kiểm tra và tải bản cập nhật mới nhất. Phiên bản mới dự kiến là 148.0.7778.167/168.
- Sau khi cài đặt hoàn tất, khởi động lại trình duyệt để kích hoạt các bản vá bảo mật. Các tab đang mở sẽ được lưu và tự động khôi phục sau khi mở lại Chrome.
Danh sách 14 lỗ hổng nghiêm trọng
14 lỗ hổng nghiêm trọng trong đợt cập nhật lần này đã giúp các chuyên gia bảo mật nhận tổng cộng 68.000 USD tiền thưởng từ chương trình săn lỗi của Google. Các lỗi bao gồm:
1. CVE-2026-8509: Tràn bộ đệm heap trong WebML
2. CVE-2026-8510: Tràn số nguyên trong Skia
3. CVE-2026-8511: Sử dụng bộ nhớ sau giải phóng trong giao diện người dùng
4. CVE-2026-8512: Sử dụng bộ nhớ sau giải phóng trong FileSystem
5. CVE-2026-8513: Sử dụng bộ nhớ sau giải phóng trong Input
6. CVE-2026-8514: Sử dụng bộ nhớ sau giải phóng trong Aura
7. CVE-2026-8515: Sử dụng bộ nhớ sau giải phóng trong HID
8. CVE-2026-8516: Xác thực dữ liệu đầu vào không đầy đủ trong DataTransfer
9. CVE-2026-8517: Lỗi vòng đời đối tượng trong WebShare
10. CVE-2026-8518: Sử dụng bộ nhớ sau giải phóng trong Blink
11. CVE-2026-8519: Tràn số nguyên trong ANGLE
12. CVE-2026-8520: Lỗi tranh chấp trong hệ thống thanh toán
13. CVE-2026-8521: Sử dụng bộ nhớ sau giải phóng trong Nhóm tab
14. CVE-2026-8522: Sử dụng bộ nhớ sau giải phóng trong thư mục Tải xuống
Google cho biết hãng sẽ tiếp tục hạn chế công khai chi tiết kỹ thuật của các lỗ hổng cho đến khi phần lớn người dùng hoàn tất cập nhật bản vá. Vì vậy, người dùng được khuyến cáo nên chủ động kiểm tra và cập nhật Chrome càng sớm càng tốt để tránh rủi ro bảo mật.
