Lỗ hổng bảo mật CVE-2026-2441 trên Chrome
Google vừa phát hành bản cập nhật bảo mật khẩn cấp cho trình duyệt Google Chrome để khắc phục một lỗ hổng nghiêm trọng đang bị khai thác rộng rãi. Lỗ hổng này, được theo dõi với mã CVE-2026-2441, có điểm CVSS là 8.8 và được phân loại là lỗ hổng sử dụng bộ nhớ sau khi đã giải phóng (use-after-free) trong thành phần CSS của trình duyệt.
Các nhà nghiên cứu bảo mật đã xác định được vấn đề này vào ngày 11 tháng 2 năm 2026. Theo mô tả được công bố trong Cơ sở dữ liệu lỗ hổng quốc gia (NVD), lỗ hổng này ảnh hưởng đến các phiên bản Chrome trước 145.0.7632.75. Kẻ tấn công từ xa có thể khai thác lỗ hổng bằng cách cung cấp một trang HTML được tạo đặc biệt, có khả năng cho phép thực thi mã tùy ý trong môi trường hộp cát của Chrome.
Mặc dù chưa có thông tin chi tiết cụ thể nào được tiết lộ về các tác nhân gây ra mối đe dọa, phương pháp khai thác hoặc nạn nhân mục tiêu, Google đã xác nhận rằng một lỗ hổng bảo mật CVE-2026-2441 đang được sử dụng trong các cuộc tấn công thực tế.
Mục lục
Vì sao các lỗ hổng bảo mật trình duyệt vẫn là mục tiêu hàng đầu?
Các lỗ hổng bảo mật dựa trên trình duyệt tiếp tục thu hút các tác nhân đe dọa do bề mặt tấn công rộng lớn mà các trình duyệt hiện đại cung cấp. Với việc được triển khai gần như phổ biến trong môi trường doanh nghiệp và người tiêu dùng, trình duyệt đóng vai trò là điểm xâm nhập có giá trị cao cho các hoạt động độc hại.
Việc vá lỗi CVE-2026-2441 đánh dấu lỗ hổng bảo mật zero-day đầu tiên bị khai thác tích cực được khắc phục trong Chrome năm 2026. Năm trước đó, Google đã giải quyết tám lỗ hổng zero-day của Chrome, hoặc bị khai thác trong các chiến dịch đang diễn ra hoặc được chứng minh công khai thông qua các bằng chứng về khái niệm. Mô hình này củng cố sự tập trung liên tục vào việc khai thác trình duyệt trong bối cảnh các mối đe dọa.
Hoạt động tấn công lỗ hổng bảo mật Zero-Day song song trong hệ sinh thái của Apple
Thông tin này được công bố ngay sau các bản cập nhật bảo mật từ Apple nhằm khắc phục một lỗ hổng bảo mật chưa được phát hiện khác, CVE-2026-20700, với điểm CVSS là 7.8. Lỗ hổng này đã bị lợi dụng trong các cuộc tấn công tinh vi nhắm vào một số cá nhân nhất định sử dụng các thiết bị chạy các phiên bản iOS trước iOS 26.
Apple đã khắc phục lỗ hổng trên nhiều nền tảng, bao gồm iOS, iPadOS, macOS Tahoe, tvOS, watchOS và visionOS. Các cuộc tấn công được cho là đã cho phép thực thi mã tùy ý trên các thiết bị dễ bị tổn thương.
Các bước khắc phục ngay lập tức
Để giảm thiểu nguy cơ bị tấn công bởi CVE-2026-2441, người dùng nên cập nhật Chrome lên các phiên bản bảo mật sau:
145.0.7632.75/76 dành cho Windows và macOS
144.0.7559.75 dành cho Linux
Bạn có thể xác minh và áp dụng các bản cập nhật bằng cách truy cập vào:
Chọn Thêm > Trợ giúp > Giới thiệu về Google Chrome, sau đó chọn Khởi chạy lại để hoàn tất cài đặt.
Người dùng các trình duyệt dựa trên Chromium khác cũng nên cảnh giác. Các nền tảng như Microsoft Edge, Brave, Opera và Vivaldi dự kiến sẽ tung ra các bản vá tương ứng, và người dùng nên cập nhật ngay khi có bản vá.
Việc duy trì các phiên bản trình duyệt được cập nhật vẫn là biện pháp phòng vệ quan trọng chống lại các mối đe dọa trên mạng ngày càng tinh vi.
