Mặc dù các bản cập nhật bảo mật hàng tuần đã trở thành thông lệ từ năm 2023, nhưng khi Google tung ra bản cập nhật bảo mật thứ hai cho trình duyệt Chrome chỉ sau 48 giờ kể từ bản đầu tiên, bạn biết rằng điều gì đó nghiêm trọng đang xảy ra.

Các lỗ hổng đều đang được tin tặc khai thác

Và đúng vậy: Google đã xác nhận không dưới hai lỗ hổng bảo mật zero-day nhắm vào người dùng Chrome và thừa nhận rằng các công cụ khai thác đã tồn tại.

Google đã tuyên bố rằng, bắt đầu từ Chrome 153, các bản cập nhật phát hành ổn định sẽ chuyển sang lịch trình hai tuần một lần, giảm một nửa so với lịch trình hiện tại.

Các lỗ hổng Zero-day được đánh giá là cực kỳ nghiêm trọng được phát hiện.

Một bản cập nhật đã được phát hành vào ngày 10 tháng 3, bao gồm tới 29 bản vá lỗi bảo mật. Bản cập nhật bảo mật trước đó được phát hành vào ngày 3 tháng 3.

Giờ đây, Google đã xác nhận một bản cập nhật bảo mật khẩn cấp để khắc phục CVE-2026-3909 và CVE-2026-3910, cả hai đều thuộc loại lỗ hổng zero-day.

Mặc dù Microsoft có một cách định nghĩa lỗ hổng zero-day khá độc đáo, sử dụng phân loại lỗ hổng chỉ yêu cầu lỗ hổng được biết đến trước khi bản vá được phát hành, chứ không phải bị khai thác tích cực.

Nhưng độc giả thường xuyên theo dõi sẽ hiểu rằng định nghĩa được chấp nhận rộng rãi hơn có nghĩa là các cuộc tấn công thực tế đã xảy ra trước khi bất kỳ bản cập nhật nào được phát hành và trước khi nhà cung cấp biết về chính lỗ hổng đó.

Mỹ ra thông báo khẩn cho các cơ quan chính phủ

Cả hai lỗ hổng này đều có mức độ nghiêm trọng cao theo Hệ thống chấm điểm lỗ hổng phổ biến (Common Vulnerability Scoring System) và ảnh hưởng đến các thành phần cốt lõi của công nghệ nền tảng trình duyệt Chrome.

Cảnh báo của cơ quan An ninh mạng và Hạ tầng Mỹ về lỗ hổng.

Thứ hai, những lỗ hổng bảo mật chưa được vá này được phát hiện nội bộ bởi Google, chứ không phải bởi các nhà nghiên cứu bảo mật bên ngoài như thường thấy.

Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA), thường tự gọi mình là Cơ quan Phòng thủ mạng của Mỹ, đã bổ sung cả hai lỗ hổng bảo mật CVE-2026-3909 và CVE-2026-3910 của Google Chrome vào cơ sở dữ liệu Danh mục các lỗ hổng đã bị khai thác (Known Exploited Vulnerabilities).

Điều này rất quan trọng vì nhiều lý do, không chỉ vì nó cung cấp sự xác nhận chính thức, ở cấp chính phủ về việc sử dụng các lỗ hổng này trong các cuộc tấn công, mà còn vì ý nghĩa của nó đối với một số cơ quan liên bang và hệ sinh thái doanh nghiệp rộng lớn hơn.

Google đã trả 81,6 triệu USD cho việc tiết lộ lỗ hổng bảo mật

Mặc dù hai lỗ hổng bảo mật zero-day mới nhất được chính Google phát hiện, nhưng Chương trình Thưởng Phát hiện Lỗ hổng (Vulnerability Reward Program), chương trình cung cấp tiền thưởng cho các nhà nghiên cứu bảo mật bên ngoài để phát hiện và công bố các lỗ hổng.

Trong thời gian hơn 15 tồn tại, chương trình đã trao thưởng một khoản tiền đáng kinh ngạc là 81,6 triệu USD cho các nhà nghiên cứu, và chỉ riêng trong năm 2025, tổng số tiền đã vượt quá 17 triệu USD.

Khoản tiền thưởng lớn nhất cũng được trả trong năm 2025, theo lời Google, đã được trao cho hai nhà nghiên cứu “có khả năng tìm ra lỗi logic trong cơ chế giao tiếp giữa các tiến trình của Chrome với bằng chứng khai thác đã được chứng minh”.