CVE-2026-3909, CVE-2026-3910: Chrome vá lỗ hổng 2 zero-day
Google đã phát hành bản cập nhật Stable Channel cho Chrome desktop ngày 12/3/2026 để xử lý hai lỗ hổng zero-day là CVE-2026-3909 và CVE-2026-3910. Cả hai đều được Google xác nhận đang bị khai thác ngoài thực tế, nhưng trên thông báo chính thức chúng được xếp mức High, không phải Critical.
Phiên bản đã được vá
Bản vá được phát hành cho Chrome 146.0.7680.75/.76 trên Windows và Mac, cùng 146.0.7680.75 trên Linux. Theo nhóm Chrome, cả hai lỗi đều do chính Google phát hiện và báo cáo ngày 10/3/2026, chỉ hai ngày trước khi bản cập nhật được đẩy ra Stable Channel.
Chi tiết kỹ thuật được công bố
Về kỹ thuật, CVE-2026-3909 là lỗi out-of-bounds write trong Skia, còn CVE-2026-3910 là lỗi inappropriate implementation trong V8. Tham chiếu định danh và thông tin chấm điểm có thể đối chiếu tại NVD (CVE-2026-3909) và NVD (CVE-2026-3910).
Google chưa công bố sâu chi tiết khai thác và cho biết sẽ tiếp tục hạn chế truy cập vào thông tin kỹ thuật cho tới khi phần lớn người dùng đã cập nhật xong, nhằm giảm nguy cơ bị tái tạo tấn công trên diện rộng.
Vì sao bản vá này cần ưu tiên
Điểm đáng chú ý nhất là Google xác nhận exploit cho cả hai lỗ hổng đã tồn tại ngoài thực tế. Điều đó khiến đây không chỉ là đợt vá định kỳ, mà là một bản cập nhật cần ưu tiên cài ngay. Với các trình duyệt nền Chromium khác như Edge, Brave hay Vivaldi, quản trị viên cũng nên theo dõi bản vá tương ứng từ từng nhà cung cấp vì các dự án này thường cần thời gian đồng bộ bản sửa lỗi từ Chromium.
Khuyến nghị hành động
- Cập nhật Chrome ngay và khởi động lại trình duyệt để hoàn tất vá lỗi.
- Trong môi trường doanh nghiệp, các đội IT nên rà soát nhanh phiên bản đang chạy trên endpoint, đặc biệt với các máy thường xuyên truy cập web công cộng hoặc xử lý nội dung không tin cậy.
- Ưu tiên nhóm người dùng có rủi ro cao trước, vì đây là dạng zero-day có thể bị kích hoạt thông qua trang web độc hại được dựng sẵn.
