Skip to main content
HashnodeFPT IS SecurityFPT IS Security

Command Palette

Search for a command to run...

Lỗ hổng zero-day nghiêm trọng trong Google Chrome đang bị khai thác trên thực tế

Published
5 min read
Lỗ hổng zero-day nghiêm trọng trong Google Chrome đang bị khai thác trên thực tế
M
Mai Đức Nam Anh
Part of seriesNewsletters

Đầu tháng 04 năm 2026, Google phát hành bản vá cho 21 lỗ hổng nghiêm trọng, tồn tại trong trình duyệt Google Chrome. Đáng chú ý, trong số các lỗ hổng nhận được bản vá lần này, xuất hiện một lỗ hổng đã và đang bị tin tặc khai thác trong các cuộc tấn công trên thực tế.

Thông tin chi tiết

  • Định danh lỗ hổng: CVE-2026-5281

  • Điểm CVSS (3.1): 8.8

  • Mức độ nghiêm trọng: HIGH - Nghiêm trọng cao

  • Mô tả tóm tắt: Lỗi use-after-free (sử dụng bộ nhớ sau khi giải phóng) trong thành phần Dawn trên Google Chrome, cho phép kẻ tấn công từ xa sau khi chiếm được quyền kiểm soát tiến trình renderer (tiến trình kết xuất) có thể thực thi mã tùy ý thông qua một trang HTML độc hại.

  • Phiên bản bị ảnh hưởng: Google Chrome trước phiên bản 146.0.7680.178

Dawn là một dự án mã nguồn mở trong hệ sinh thái Chromium, đóng vai trò là bản thực thi (implementation) chính thức của tiêu chuẩn WebGPU. Đây là lớp trung gian (middleware) cho phép các ứng dụng web truy cập trực tiếp và hiệu quả vào khả năng tính toán đồ họa của phần cứng (GPU) thông qua trình duyệt.

Chức năng cốt lõi của Dawn bao gồm:

  • Cung cấp API WebGPU: Thay thế WebGL để giải quyết các hạn chế về hiệu suất, hỗ trợ các tính năng hiện đại như Compute Shaders và xử lý đa luồng.

  • Quản lý Tài nguyên: Tự động hóa việc quản lý bộ nhớ GPU, pipeline state và đồng bộ hóa các lệnh thực thi.

  • Tính di động (Portability): Cung cấp một lớp trừu tượng duy nhất cho các lập trình viên và nhà phát triển, giúp mã nguồn chạy nhất quán trên các kiến trúc phần cứng khác nhau.

Do tiếp xúc trực tiếp với Driver đồ họa nên Dawn được thiết kế với các cơ chế bảo mật nghiêm ngặt. Lớp trung gian này luôn duy trì kiểm tra tính hợp lệ của lệnh trước khi gửi tới GPU để tránh lỗi tràn bộ nhớ hoặc can thiệp trái phép, đồng thời hoạt động cô lập trong tiến trình GPU riêng biệt nhằm hạn chế rủi ro khai thác từ lỗ hổng Use-after-free hoặc truy cập bộ nhớ ngoài phạm vi (Out-of-bounds).

Tuy nhiên, trong đợt phát hành bản vá bảo mật mới nhất của Google, hãng thông báo thành phần này đang bị tin tặc tích cực khai thác trong các cuộc tấn công trên thực tế, do sự xuất hiện của một lỗ hổng zero-day nghiêm trọng mới trong trình duyệt Google Chrome, được định danh CVE-2026-5281 - một lỗi Use-after-free trong thành phần Dawn.

Thông thường lỗi Use-after-free xảy ra khi một chương trình tiếp tục truy cập hoặc sử dụng một con trỏ (pointer) trỏ đến vùng nhớ đã được giải phóng (deallocated/freed). Kẻ tấn công từ xa có thể lợi dụng lỗ hổng này để đánh lừa hệ thống và ghi đè những dữ liệu độc hại vào vùng nhớ đã giải phóng. Khi chương trình thực hiện lệnh gọi hàm từ con trỏ cũ, nó sẽ thực thi mã của kẻ tấn công thay vì mã gốc.

Trong ngữ cảnh của CVE-2026-5281, Google cho biết nếu kẻ tấn công từ xa kiểm soát được tiến trình render của trình duyệt, có thể tuỳ ý thực thi mã trên hệ thống mục tiêu thông qua một trang HTML độc hại chứa đoạn mã khai thác, đồng thời không ngoại trừ khả năng lỗ hổng này cũng có thể bị lợi dụng làm bàn đạp nhằm vượt qua các cơ chế "sandbox" bảo mật của trình duyệt, tạo tiền đề triển khai các payload độc hại tiếp theo, khai thác leo thang đặc quyền, tiếp cận dữ liệu nhạy cảm hoặc gây ra tình trạng xung đột bộ nhớ dẫn đến crash ứng dụng, gây tình trạng từ chối dịch vụ trên hệ thống.

Đợt cập nhật này diễn ra ngay sau khi Google vừa xử lý hai lỗ hổng nghiêm trọng khác (CVE-2026-3909 và CVE-2026-3910) vốn cũng bị khai thác dưới dạng zero-day. Trước đó vào tháng 2, hãng này cũng đã vá một lỗi use-after-free trong thành phần CSS của Chrome (CVE-2026-2441). Tính tổng cộng, kể từ đầu năm đến nay, Google đã vá 4 lỗ hổng zero-day của Chrome bị khai thác trên thực tế.

Khắc phục & Khuyến nghị

Mức độ nguy hiểm và phạm vi ảnh hưởng mà lỗ hổng này tác động là cực kỳ lớn do trình duyệt Google Chrome được sử dụng rộng rãi bởi người dùng cá nhân, các doanh nghiệp hay các trình duyệt phụ thuộc nhân Chromium như Microsoft Edge, Brave, Opera,... Do đó việc khắc phục, áp dụng các bản vá bảo mật mới nhất là điều cấp thiết, cần được thực hiện ngay.

Đội ngũ FPT Threat Intelligence khuyến nghị:

  1. Cập nhật trình duyệt: Người dùng và các quản trị viên hệ thống có sử dụng Google Chrome hay các trình duyệt nhân Chromium tương ứng cần áp dụng bản vá mới nhất dưới đây:

    • Windows và MacOS: 146.0.7680.177 / 178

    • Linux: 146.0.7680.177

  2. Cảnh giác trước các website lạ: Tránh truy cập vào các website không rõ nguồn gốc, được gửi kèm trong email hay các liên kết lạ trên mạng xã hội hay từ các nguồn không rõ trên internet.

  3. Giám sát các hành vi bất thường: Đối với môi trường doanh nghiệp, quản trị viên hệ thống có thể triển khai giám sát lưu lượng mạng, giám sát hệ thống 24/7 nhằm phát hiện sớm các dấu hiệu bất thường cũng như ngăn chặn các hành vi khai thác nguy hiểm nhắm tới hệ thống.

Tham khảo

  1. Chrome releases
#google-chrome#threat-intelligence#vulnerability

Newsletters

Part 3 of 50
Up next

Chiến Dịch Malware Qua WhatsApp Phát Tán VBS và MSI Backdoor

Tóm Tắt Vào cuối tháng 2 năm 2026, nhóm Microsoft Defender Experts đã phát hiện một chiến dịch tấn công tinh vi sử dụng ứng dụng nhắn tin WhatsApp để phát tán các tệp Visual Basic Script (VBS) độc hại

More from this blog

F

FPT IS Security

718 posts

Dedicated to providing insightful articles on cybersecurity threat intelligence, aimed at empowering individuals and organizations to navigate the digital landscape safely.