CVE-2026-11645 là lỗ hổng zero-day thứ năm mà Google phải khẩn cấp vá trong năm 2026, khi công ty phát hành bản cập nhật bảo mật cho trình duyệt Chrome nhằm khắc phục một lỗi nghiêm trọng trong công cụ V8 JavaScript. Theo thông báo từ Google hôm thứ Hai, mã khai thác nhắm vào lỗ hổng này đã được phát hiện trong thực tế, cho thấy mức độ nguy hiểm ngay lập tức. Lỗ hổng nằm ở thành phần cốt lõi xử lý JavaScript và WebAssembly, khiến nó trở thành mục tiêu hấp dẫn đối với nhiều nhóm tấn công. Sự việc tiếp tục nhấn mạnh thách thức mà các nhà phát triển trình duyệt phải đối mặt trong cuộc chiến chống lại tội phạm mạng và gián điệp.
Bản vá khẩn cấp đến tay người dùng toàn cầu
Ngay sau khi lỗ hổng được phát hiện bởi một nhà nghiên cứu bảo mật ẩn danh, Google đã triển khai các phiên bản Chrome đã vá trên tất cả nền tảng máy tính để bàn chính, bao gồm Windows, macOS và Linux. Các bản dựng mới bao gồm Chrome 149.0.7827.102 cho Windows và Linux, cùng Chrome 149.0.7827.103 cho macOS. Mặc dù công ty lưu ý rằng quá trình triển khai đầy đủ qua các kênh cập nhật tiêu chuẩn có thể mất vài ngày hoặc thậm chí vài tuần, các nhà nghiên cứu bảo mật xác nhận bản cập nhật đã có sẵn ngay lập tức thông qua cơ chế cập nhật thủ công trong Chrome. Người dùng có thể kích hoạt quá trình này bằng cách vào menu cài đặt và chọn mục “About Google Chrome”, tự động kiểm tra phiên bản mới.
Lỗ hổng trong công cụ V8 cho phép khai thác bộ nhớ
Lỗ hổng CVE-2026-11645 thuộc dạng out-of-bounds read và write trong công cụ V8, vốn rất nguy hiểm vì có thể dẫn đến hỏng bộ nhớ, rò rỉ thông tin, sập ứng dụng và thực thi mã tùy ý. Google cảnh báo rằng kẻ tấn công có thể khai thác lỗ hổng này thông qua nội dung HTML được chế tạo đặc biệt trên các trang web độc hại hoặc bị xâm nhập. Chỉ cần truy cập một trang web như vậy, người dùng có thể kích hoạt lỗi, thậm chí ngay cả trong môi trường sandbox của Chrome – lớp bảo vệ quan trọng nhằm cách ly nội dung web khỏi hệ điều hành. Các lỗ hổng hỏng bộ nhớ trong công cụ trình duyệt thường được coi là một trong những loại lỗi phần mềm có giá trị nhất, vì chúng thường đóng vai trò là bước đầu tiên trong một cuộc tấn công phức tạp hơn.
Danh sách các mối đe dọa từ lỗ hổng V8
Theo thông tin kỹ thuật hiện có, việc khai thác thành công CVE-2026-11645 có thể cho phép kẻ tấn công:
- Đọc nội dung bộ nhớ ngoài các ranh giới được chỉ định.
- Làm hỏng cấu trúc bộ nhớ heap.
- Rò rỉ thông tin nhạy cảm được lưu trữ trong các tiến trình trình duyệt.
- Gây ra sập trình duyệt và mất ổn định.
- Vượt qua các cơ chế bảo vệ bộ nhớ.
- Tạo điều kiện cho các cuộc tấn công thực thi mã khác khi kết hợp với các lỗ hổng bổ sung.
Các lỗ hổng truy cập bộ nhớ ngoài ranh giới thường giúp kẻ tấn công vượt qua các biện pháp phòng thủ như Address Space Layout Randomization (ASLR), vốn được thiết kế để làm cho việc khai thác trở nên khó khăn hơn. Bằng cách tiết lộ thông tin về bố cục bộ nhớ hoặc làm hỏng các cấu trúc quan trọng, các tác nhân độc hại có thể tăng độ tin cậy của các giai đoạn khai thác tiếp theo, cuối cùng dẫn đến chiếm quyền kiểm soát toàn bộ hệ thống nếu có thêm các điểm yếu khác.
Google giữ kín thông tin để ngăn chặn các cuộc tấn công sao chép
Như thường lệ khi xử lý các lỗ hổng đang bị khai thác tích cực, Google đã không tiết lộ chi tiết kỹ thuật về các cuộc tấn công. Công ty cho biết quyền truy cập vào thông tin chi tiết về lỗi, mã bằng chứng khái niệm và tài liệu liên quan sẽ bị hạn chế cho đến khi phần lớn người dùng Chrome đã cài đặt bản cập nhật bảo mật. Chính sách này nhằm ngăn chặn các tác nhân đe dọa khác phát triển các cuộc tấn công sao chép trước khi các hệ thống dễ bị tổn thương được vá. Google cũng cho biết các hạn chế tiết lộ có thể duy trì nếu các dự án phần mềm bên thứ ba dựa trên mã tương tự chưa triển khai các bản sửa lỗi tương ứng. Công ty chưa tiết lộ ai đã phát hiện ra lỗ hổng, ai đang khai thác nó, hay liệu các cuộc tấn công có liên quan đến tội phạm mạng vì lợi nhuận, các tác nhân quốc gia hay các nhà cung cấp phần mềm gián điệp thương mại hay không.
Lỗ hổng zero-day thứ năm trên Chrome trong năm 2026
CVE-2026-11645 là lỗ hổng zero-day thứ năm bị khai thác tích cực trên Chrome được Google vá trong năm nay. Công ty đã giải quyết một loạt các lỗ hổng bảo mật quan trọng trong nửa đầu năm 2026, bao gồm:
- CVE-2026-2441: Được vá vào tháng 2, liên quan đến vấn đề vô hiệu hóa iterator trong CSSFontFeatureValuesMap.
- CVE-2026-3909: Được công bố vào tháng 3, lỗ hổng out-of-bounds write ảnh hưởng đến thư viện đồ họa Skia.
- CVE-2026-3910: Cũng được vá vào tháng 3, điểm yếu trong công cụ V8 JavaScript và WebAssembly.
- CVE-2026-5281: Được xử lý vào tháng 4, lỗ hổng use-after-free trong Dawn, triển khai WebGPU của Google.
Các lỗ hổng an toàn bộ nhớ – bao gồm use-after-free, out-of-bounds read và out-of-bounds write – tiếp tục chiếm ưu thế trong hoạt động khai thác trình duyệt, bất chấp những nỗ lực của các nhà phát triển nhằm tăng cường phòng thủ. Sự xuất hiện thường xuyên của các lỗi như vậy đã làm dấy lên lời kêu gọi áp dụng rộng rãi hơn các ngôn ngữ lập trình an toàn bộ nhớ như Rust trong phát triển trình duyệt. Google, Microsoft và các công ty công nghệ khác ngày càng nhấn mạnh các sáng kiến an toàn bộ nhớ sau khi các nghiên cứu chỉ ra rằng phần lớn các lỗ hổng phần mềm nghiêm trọng bắt nguồn từ lỗi quản lý bộ nhớ. Mặc dù kiến trúc của Chrome đã tích hợp nhiều biện pháp giảm thiểu – bao gồm site isolation, sandboxing, hệ thống phát hiện khai thác và phân tách tiến trình nâng cao – các chuyên gia bảo mật cho rằng việc giảm mã không an toàn về bộ nhớ vẫn là một trong những biện pháp phòng thủ dài hạn hiệu quả nhất.