Lỗ hổng bảo mật CVE-2026-11645 trên Chrome

Google vừa phát hành bản cập nhật bảo mật khẩn cấp để khắc phục một lỗ hổng bảo mật zero-day khác đang bị khai thác tích cực trong trình duyệt Chrome. Lỗ hổng này, được theo dõi với mã CVE-2026-11645, đánh dấu lỗ hổng zero-day thứ năm của Chrome được công ty vá kể từ đầu năm 2026.

Theo Google, bằng chứng xác nhận rằng một lỗ hổng bảo mật nhắm vào thông tin này đã được sử dụng trong các cuộc tấn công thực tế. Vấn đề này đã được báo cáo ẩn danh cho công ty, và bản vá lỗi sau đó đã được triển khai thông qua kênh Stable Desktop.

Các phiên bản vá lỗi hiện đang được triển khai trên toàn cầu cho Windows (149.0.7827.102), macOS (149.0.7827.103) và Linux (149.0.7827.102). Tuy nhiên, quá trình cập nhật có thể mất vài ngày hoặc thậm chí vài tuần trước khi đến được với tất cả người dùng Chrome.

Đối với những người không tự cài đặt bản cập nhật, Chrome được thiết kế để tự động kiểm tra và áp dụng các bản vá bảo mật có sẵn trong lần khởi chạy trình duyệt tiếp theo.

Bên trong lỗ hổng CVE-2026-11645: Một lỗi nguy hiểm của động cơ V8

Lỗ hổng bảo mật nghiêm trọng này bắt nguồn từ điểm yếu đọc và ghi ngoài phạm vi trong công cụ JavaScript V8 của Chrome. Kẻ tấn công có thể khai thác lỗ hổng này thông qua các trang HTML được tạo ra đặc biệt, có khả năng cho phép thực thi mã tùy ý bên trong môi trường hộp cát của trình duyệt.

Việc khai thác thành công có thể dẫn đến lỗi tràn bộ nhớ heap, cho phép kẻ tấn công truy cập vào bộ nhớ nằm ngoài phạm vi cho phép. Hành vi này có thể làm lộ thông tin nhạy cảm, gây ra sự cố sập trình duyệt hoặc tạo điều kiện cho các hoạt động độc hại khác.

Ngoài việc truy cập bộ nhớ trái phép, lỗ hổng này cũng có thể được khai thác để vượt qua các biện pháp bảo vệ an ninh như Ngẫu nhiên hóa bố cục không gian địa chỉ (ASLR), làm tăng khả năng thực thi mã khi kết hợp với các điểm yếu khác.

Giới hạn thông tin để bảo vệ người dùng.

Mặc dù Google đã thừa nhận việc khai thác lỗ hổng này, nhưng công ty vẫn chưa tiết lộ chi tiết kỹ thuật về các cuộc tấn công. Việc truy cập thông tin về lỗi và các tài nguyên liên quan có thể vẫn bị hạn chế cho đến khi một phần lớn người dùng Chrome cài đặt bản cập nhật bảo mật.

Các hạn chế cũng có thể tiếp tục được áp dụng nếu mã bị ảnh hưởng tồn tại trong các thư viện của bên thứ ba được sử dụng bởi các dự án khác và chưa triển khai các bản vá lỗi của riêng họ.

Danh sách các mối đe dọa zero-day ngày càng gia tăng trong năm 2026

CVE-2026-11645 bổ sung vào danh sách một số lỗ hổng bảo mật chưa được vá (zero-day) khác của Chrome đã bị khai thác tích cực trong năm nay:

• CVE-2026-2441 – Lỗ hổng vô hiệu hóa trình lặp trong CSSFontFeatureValuesMap, đã được vá vào tháng Hai.

• CVE-2026-3909 – Lỗ hổng ghi dữ liệu ngoài phạm vi bộ nhớ trong thư viện đồ họa 2D Skia, bị khai thác vào tháng 3.

• CVE-2026-3910 – Một lỗ hổng triển khai không phù hợp ảnh hưởng đến công cụ JavaScript và WebAssembly của V8, cũng đã bị khai thác vào tháng 3.

• CVE-2026-5281 – Lỗ hổng sử dụng bộ nhớ sau khi đã giải phóng (use-after-free) trong Dawn, phiên bản WebGPU đa nền tảng của Chromium, đã được vá lỗi vào tháng Tư.

Cuộc chiến không ngừng nghỉ của Chrome chống lại các lỗ hổng bảo mật zero-day

Bản cập nhật khẩn cấp mới nhất nhấn mạnh mối đe dọa dai dẳng từ các lỗ hổng bảo mật zero-day nhắm vào các trình duyệt web hiện đại. Trong suốt năm 2025, Google đã khắc phục thêm tám lỗ hổng zero-day trên Chrome bị khai thác trong thực tế. Một số lỗ hổng đó được xác định bởi Nhóm Phân tích Mối đe dọa của Google (TAG), một nhóm chuyên trách nổi tiếng với việc theo dõi các hoạt động gián điệp mạng tinh vi và các chiến dịch phần mềm gián điệp.

Việc liên tục phát hiện ra các lỗ hổng đang bị khai thác tích cực nhấn mạnh tầm quan trọng của việc cập nhật trình duyệt kịp thời và khắc phục lỗ hổng nhanh chóng trong việc bảo vệ người dùng trước các mối đe dọa mạng ngày càng tinh vi.