Google vừa phát hành bản cập nhật bảo mật khẩn cấp cho trình duyệt Google Chrome nhằm khắc phục hai lỗ hổng nghiêm trọng đang bị khai thác trong các cuộc tấn công mạng. Hai lỗ hổng được định danh CVE-2026-3909 và CVE-2026-3910, đều được đánh giá ở mức độ nguy hiểm cao với điểm CVSS 8.8.
Theo thông báo từ Google, hãng đã ghi nhận sự tồn tại của mã khai thác (exploit) đối với cả hai lỗ hổng này. Tuy nhiên, công ty chưa công bố chi tiết về phương thức tấn công cũng như các nhóm tin tặc có thể đứng sau việc khai thác, nhằm hạn chế nguy cơ bị lợi dụng trước khi người dùng kịp cập nhật bản vá.
Lỗ hổng CVE-2026-3909 tồn tại trong thư viện đồ họa Skia – thành phần chịu trách nhiệm xử lý đồ họa 2D của Chrome. Đây là lỗi ghi dữ liệu vượt vùng nhớ (out-of-bounds write), có thể dẫn đến tình trạng hỏng bộ nhớ của trình duyệt. Kẻ tấn công có thể lợi dụng lỗ hổng bằng cách tạo một trang HTML được thiết kế đặc biệt và dụ người dùng truy cập. Khi trang web độc hại được mở, lỗi có thể bị kích hoạt và tạo điều kiện cho việc thực thi mã độc.
Trong khi đó, lỗ hổng CVE-2026-3910 nằm trong engine V8 – thành phần xử lý JavaScript và WebAssembly của Chrome. Lỗi này cho phép kẻ tấn công thực thi mã tùy ý trong môi trường sandbox của trình duyệt thông qua một trang HTML độc hại. Dù sandbox được thiết kế nhằm cô lập các tiến trình của trình duyệt, các chuyên gia bảo mật cho rằng những lỗ hổng dạng này có thể trở thành mắt xích trong chuỗi tấn công phức tạp nếu bị kết hợp với các kỹ thuật khai thác khác.
Google cho biết hai lỗ hổng được phát hiện vào ngày 10-3-2026. Bản vá đã được tích hợp trong các phiên bản Chrome mới nhất gồm 146.0.7680.75 và 146.0.7680.76 dành cho Windows và macOS, cùng phiên bản 146.0.7680.75 cho Linux. Việc phát hành bản cập nhật sẽ được triển khai dần trong thời gian tới thông qua cơ chế tự động của trình duyệt.
Các chuyên gia an ninh mạng khuyến cáo người dùng cần nhanh chóng kiểm tra và cập nhật Chrome lên phiên bản mới nhất để giảm thiểu nguy cơ bị tấn công. Trong nhiều trường hợp, chỉ cần truy cập vào một trang web hoặc liên kết độc hại, thiết bị chưa được vá lỗi có thể trở thành mục tiêu khai thác.
Trước đó vào giữa tháng 2-2026, Google cũng đã phát hành bản vá cho một lỗ hổng zero-day khác của Chrome mang mã CVE-2026-2441. Lỗ hổng này là lỗi use-after-free trong thành phần xử lý CSS của trình duyệt và cũng đã bị khai thác trong các hoạt động tấn công mạng.
Theo các chuyên gia bảo mật, việc liên tiếp xuất hiện các lỗ hổng zero-day cho thấy trình duyệt web tiếp tục là mục tiêu tấn công ưu tiên của tội phạm mạng. Với lượng người dùng khổng lồ trên toàn cầu, Chrome thường được xem là điểm xâm nhập ban đầu trong nhiều chiến dịch tấn công nhằm vào cá nhân và tổ chức.