Cơ quan chức năng cảnh báo người dùng và các chủ quản hệ thống thông tin cần khẩn trương cập nhật trình duyệt Google Chrome lên phiên bản mới nhất. Động thái này nhằm ngăn chặn kịp thời hai lỗ hổng bảo mật Zero-day đặc biệt nghiêm trọng đang bị các nhóm tin tặc khai thác trên môi trường mạng thực tế.

Phát hiện mã khai thác nhắm vào hàng tỷ thiết bị

Vừa qua, Google đã phải phát hành bản vá bảo mật khẩn cấp ngoài chu kỳ cho trình duyệt Chrome để khắc phục hai lỗ hổng định danh CVE-2026-3909 và CVE-2026-3910. Đáng chú ý, cả hai lỗ hổng này đều do chính đội ngũ chuyên gia bảo mật của Google phát hiện vào ngày 10/03/2026. Hiện tại, Google đã ghi nhận các bằng chứng cho thấy mã khai thác của cả hai lỗ hổng đã được tin tặc sử dụng trong các chiến dịch tấn công trên không gian mạng. Do tính chất đặc biệt nghiêm trọng, các chi tiết kỹ thuật chuyên sâu về lỗ hổng đang được tạm thời hạn chế công bố nhằm tránh nguy cơ lây lan diện rộng trước khi người dùng kịp thời cập nhật bản vá.

Chi tiết về các lỗ hổng bảo mật nghiêm trọng

Theo phân tích từ các chuyên gia an ninh mạng, các lỗ hổng nhắm trực tiếp vào các thành phần cốt lõi của trình duyệt, tiềm ẩn rủi ro rất lớn đối với an toàn dữ liệu:

Lỗ hổng CVE-2026-3909 (Thành phần Skia): Đây là lỗi ghi dữ liệu ngoài vùng nhớ (Out-of-bounds write) nằm trong Skia - thư viện đồ họa chịu trách nhiệm xử lý và hiển thị hình ảnh 2D trên Chrome. Việc khai thác thành công lỗi này sẽ làm hỏng cấu trúc bộ nhớ của ứng dụng. Kẻ tấn công chỉ cần lừa nạn nhân truy cập vào một trang web độc hại được thiết kế sẵn để thực thi mã độc tùy ý trên thiết bị, hoặc làm treo, sập hệ thống.

Lỗ hổng CVE-2026-3910 (Công cụ V8 JavaScript): Lỗ hổng phát sinh do lỗi triển khai không phù hợp trong V8 - công cụ thực thi JavaScript lõi của Chrome. Trong thời gian qua, các lỗi trong V8 luôn là mục tiêu hàng đầu của tội phạm mạng. Khi bị khai thác, tin tặc có thể sử dụng lỗ hổng này làm bước đệm để vượt qua cơ chế hộp cát (sandbox) bảo vệ của trình duyệt, từ đó chiếm quyền kiểm soát sâu hơn vào hệ thống máy tính của nạn nhân.

Trước nguy cơ từ các cuộc tấn công có chủ đích lợi dụng lỗ hổng Zero-day, Phòng An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Công an tỉnh Khánh Hòa khuyến nghị các cơ quan, tổ chức, doanh nghiệp và cá nhân ngay lập tức thực hiện các biện pháp sau:

1. Cập nhật khẩn cấp trình duyệt: Người dùng cần kiểm tra và cập nhật Google Chrome lên phiên bản an toàn mới nhất (Phiên bản 146.0.7680.75/76 đối với hệ điều hành Windows, macOS và phiên bản 146.0.7680.75 đối với hệ điều hành Linux).

2. Thao tác thực hiện: Người dùng truy cập vào mục Cài đặt (Settings) > Giới thiệu về Chrome (About Chrome) để trình duyệt tự động kiểm tra và tải về bản vá. Bắt buộc phải khởi động lại trình duyệt để bản cập nhật có hiệu lực toàn diện.

3. Đối với các hệ thống mạng cơ quan, doanh nghiệp: Quản trị viên hệ thống cần chủ động rà soát, ưu tiên áp dụng chính sách bắt buộc (force update) để triển khai phiên bản Chrome đã vá lỗi đồng loạt trên toàn bộ hệ thống máy trạm mạng nội bộ, nhằm đóng kín mọi "lỗ hổng" trước nguy cơ bị xâm nhập.

4. Nâng cao cảnh giác: Không nhấp vào các đường link lạ, tệp đính kèm không rõ nguồn gốc gửi qua email, mạng xã hội để phòng tránh nguy cơ bị dẫn dụ vào các trang web chứa mã độc kích hoạt lỗ hổng.

Việc chủ động cập nhật phần mềm và nâng cao ý thức cảnh giác là lá chắn phòng thủ hiệu quả nhất trước những diễn biến ngày càng tinh vi, phức tạp của tội phạm trên không gian mạng.

   Phòng An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao