3,5 tỉ người dùng Google Chrome nên làm điều này ngay

Đáng chú ý, động thái này diễn ra chỉ hai ngày sau bản cập nhật bảo mật trước đó, cho thấy mức độ nghiêm trọng của sự việc.

Hai lỗ hổng được định danh là CVE-2026-3909 và CVE-2026-3910. Theo Google, cả hai đều được xếp hạng nghiêm trọng cao và đã bị khai thác trước khi bản vá được phát hành.

Zero-day là thuật ngữ dùng để chỉ những lỗ hổng bị tin tặc lợi dụng khi nhà phát triển chưa kịp phát hiện hoặc chưa kịp tung bản sửa lỗi.

CVE-2026-3909 là lỗi truy cập bộ nhớ ngoài phạm vi trong thư viện đồ họa Skia, thành phần chịu trách nhiệm hiển thị giao diện và nội dung web trên Chrome. Dạng lỗi này có thể dẫn đến thực thi mã từ xa nếu người dùng truy cập vào một trang web được thiết kế sẵn để khai thác. Điều đó đồng nghĩa chỉ cần mở một đường link độc hại, thiết bị có thể bị xâm nhập.

Trong khi đó, CVE-2026-3910 nằm trong V8, công cụ xử lý JavaScript của Chrome. Đây là thành phần quan trọng, thường xuyên trở thành mục tiêu của các cuộc tấn công. Theo mô tả kỹ thuật, lỗ hổng này có thể cho phép kẻ tấn công thực thi mã tùy ý trong môi trường sandbox thông qua một trang HTML được chuẩn bị trước.

Google cho biết chi tiết kỹ thuật sẽ được hạn chế công bố cho đến khi phần lớn người dùng cập nhật xong bản vá. Bản sửa lỗi đang được triển khai dần trên các nền tảng Windows, macOS và Linux. Trước đó, hãng cũng thông báo từ Chrome 153, các bản phát hành ổn định sẽ được rút ngắn chu kỳ xuống còn hai tuần thay vì bốn tuần như hiện nay.

Dù Chrome có cơ chế cập nhật tự động, nhưng người dùng vẫn nên chủ động kiểm tra bằng cách vào menu ba chấm, chọn Trợ giúp, sau đó nhấn Giới thiệu về Google Chrome. Nếu có bản cập nhật mới, trình duyệt sẽ tự tải về và yêu cầu khởi động lại để hoàn tất.

Với khoảng 3,5 tỉ người dùng trên toàn cầu, Google Chrome luôn là mục tiêu tấn công của tin tặc. Việc cập nhật kịp thời không chỉ giúp vá lỗ hổng hiện tại mà còn giảm nguy cơ bị khai thác trong các chiến dịch tấn công đang diễn ra.