Google vá lỗ hổng "WebView" mức độ nghiêm trọng cao trên trình duyệt Chrome 143

[WhiteHat Team]

Google vừa phát hành bản vá khẩn cho Chrome trên Windows, macOS và Linux nhằm khắc phục một lỗ hổng nghiêm trọng có khả năng bị khai thác để vượt qua các cơ chế bảo vệ của trình duyệt. Nếu không được cập nhật kịp thời, lỗ hổng này có thể bị lợi dụng trong các kịch bản tấn công thực tế, đẩy người dùng vào nguy cơ bị xâm phạm ngay trong quá trình duyệt web.​

​

Theo thông báo, Chrome được nâng cấp lên phiên bản 143.0.7499.192/.193 trên Windows và macOS, cùng 143.0.7499.192 trên Linux. Dù danh sách thay đổi khá ngắn gọn, việc Google chỉ tập trung xử lý một lỗ hổng duy nhất cũng đủ cho thấy mức độ nhạy cảm và tính cấp thiết của bản cập nhật này.

Lỗ hổng mang mã CVE-2026-0628 được Google đánh giá ở mức độ nghiêm trọng cao, liên quan đến việc thực thi chính sách không đầy đủ trong thẻ WebView. Trong cấu trúc của Chrome, thẻ WebView đóng vai trò như một "cửa sổ phụ" cho phép nhà phát triển nhúng các trang web bên ngoài vào ứng dụng của mình. Dù có tính năng tương tự thẻ iframe thông thường, nhưng WebView an toàn hơn nhờ cơ chế hoạt động trong một "phân khu" riêng biệt, cách ly hoàn toàn về tiến trình xử lý và dữ liệu lưu trữ. Tuy nhiên, lỗ hổng vừa được phát hiện đã làm suy yếu lớp bảo vệ này, tạo nguy cơ để nội dung độc hại lợi dụng kẽ hở, vượt qua các chính sách an ninh, thoát khỏi môi trường sandbox và xâm nhập sâu hơn vào hệ thống trình duyệt, kéo theo những rủi ro khó lường.

Google cho biết thông tin chi tiết về lỗ hổng sẽ chỉ được công bố hạn chế cho đến khi phần lớn người dùng hoàn tất cập nhật. Cách làm này nhằm tránh việc kẻ tấn công phân tích ngược bản vá để khai thác những trình duyệt vẫn chưa được vá.

Bản cập nhật hiện đang được triển khai và sẽ đến tay toàn bộ người dùng trong những ngày hoặc tuần tới. Người dùng có thể chủ động kích hoạt cập nhật bằng cách truy cập vào Trợ giúp > Giới thiệu về Google Chrome trong menu trình duyệt.
​

Theo Security Online​