Chrome vá khẩn 3 lỗ hổng mức độ cao, nguy cơ thực thi mã từ xa

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
128
1.621 bài viết
Chrome vá khẩn 3 lỗ hổng mức độ cao, nguy cơ thực thi mã từ xa
WhiteHat Team
Gã khổng lồ công nghệ Google vừa chính thức phát hành bản cập nhật bảo mật khẩn cấp cho trình duyệt Chrome nhằm giải quyết bộ ba lỗ hổng có độ nghiêm trọng cao. Các lỗi này được đánh giá là có khả năng giúp kẻ tấn công vượt qua cơ chế bảo vệ của trình duyệt hoặc tạo điều kiện cho thực thi mã độc thông qua nội dung được dàn dựng.
Chrome.png
Tâm điểm của đợt vá lần này là CVE-2026-3062, được đánh giá là nghiêm trọng nhất. Lỗ hổng tồn tại trong Tint - trình biên dịch shader của WebGPU, cho phép đọc và ghi vượt giới hạn bộ nhớ trong quá trình xử lý shader. Đáng chú ý, khả năng ghi vượt giới hạn có thể làm hỏng cấu trúc bộ nhớ của tiến trình renderer, từ đó mở đường cho thực thi mã tùy ý nếu bị khai thác thành công. Với việc WebGPU ngày càng được tích hợp sâu nhằm phục vụ xử lý đồ họa và tính toán hiệu năng cao trên web, chuỗi xử lý shader của trình duyệt trở thành mục tiêu tấn công có giá trị.

Bên cạnh đó, thành phần xử lý đa phương tiện cũng ghi nhận lỗ hổng CVE-2026-3061, một lỗi đọc vượt giới hạn bộ nhớ do nhà nghiên cứu Luke Francis phát hiện. Lỗi này có thể bị kích hoạt khi trình duyệt xử lý tệp media được thiết kế đặc biệt hoặc nội dung web nhúng mã khai thác. Trong trường hợp bị lợi dụng, kẻ tấn công có thể truy xuất dữ liệu ngoài vùng bộ nhớ hợp lệ, từ đó phục vụ thu thập thông tin hoặc kết hợp với các kỹ thuật khác trong chuỗi tấn công. Lỗi này có thể bị lợi dụng trong các kịch bản tấn công gián tiếp thông qua website bị xâm nhập.

Lỗ hổng thứ ba, CVE-2026-3063, xuất phát từ sai sót trong quá trình triển khai tại DevTools. Dù không phải lỗi hỏng bộ nhớ, điểm yếu này vẫn có thể bị khai thác để rò rỉ dữ liệu giữa các miền, lạm dụng đặc quyền hoặc làm suy giảm các cơ chế cách ly bảo mật của Chrome trong một số điều kiện nhất định. Trong môi trường doanh nghiệp, nơi DevTools được sử dụng để phân tích ứng dụng nội bộ, việc tồn tại sai sót trong cơ chế kiểm soát có thể làm suy yếu ranh giới bảo mật.

Google đã phát hành bản cập nhật nâng Google Chrome lên phiên bản 145.0.7632.116/117 đối với Windows và macOS, trong khi người dùng Linux được cập nhật lên bản 144.0.7559.116. Theo hãng, quá trình triển khai sẽ diễn ra theo từng đợt trong những ngày tới. Chi tiết kỹ thuật của các lỗ hổng sẽ tiếp tục được hạn chế cho đến khi phần lớn người dùng hoàn tất cập nhật, nhằm giảm nguy cơ bị vũ khí hóa sớm. Thông tin chuyên sâu chỉ được công bố rộng rãi sau khi tỷ lệ triển khai bản vá đạt mức an toàn.

Người dùng có thể kiểm tra phiên bản và kích hoạt cập nhật thủ công bằng cách truy cập chrome://settings/help. Với các tổ chức sử dụng Chrome làm trình duyệt mặc định, quản trị viên cần ưu tiên đẩy bản vá thông qua hệ thống quản lý tập trung để đảm bảo toàn bộ thiết bị đầu cuối được cập nhật đồng bộ.
Theo Cyber Security News
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Google vá lỗ hổng zero-day đầu tiên năm 2026 trên Chrome đang bị khai thác
  • Chrome vá 11 lỗ hổng nghiêm trọng, ngăn nguy cơ thực thi mã từ xa
  • Prompt Poaching: Làn sóng đánh cắp dữ liệu AI ẩn mình trong các tiện ích Chrome
  • Google vá lỗ hổng "WebView" mức độ nghiêm trọng cao trên trình duyệt Chrome 143
  • Hơn 7 triệu USD tiền điện tử bị đánh cắp qua tiện ích Trust Wallet trên Chrome
  • Chrome vá khẩn hai lỗ hổng nguy hiểm cho phép tin tặc thực thi mã từ xa
    • Thẻ
    chrome cve-2026-3061 cve-2026-3062 cve-2026-3063 google chrome
    Bên trên