127 lỗ hổng bảo mật được vá trong một lần cập nhật - con số này có thể khiến bất kỳ ai cũng phải giật mình khi nhắc đến Chrome 148. Google vừa tung ra phiên bản trình duyệt mới này với quy mô sửa lỗi chưa từng có, trong đó bao gồm những lỗ hổng critical-severity (mức độ nghiêm trọng cao nhất) như integer overflow và use-after-free. Câu hỏi đặt ra: liệu đây có phải tín hiệu cho thấy tình trạng bảo mật Chrome đang đáng lo ngại hơn bao giờ hết?

Kỷ lục đáng lo ngại hay nỗ lực bảo mật đáng khen?

Chrome 148 đã chính thức được phát hành với 127 bản vá bảo mật, một con số khiến chúng tôi phải đặt câu hỏi về tình trạng an ninh thực sự của trình duyệt phổ biến nhất thế giới. So với Chrome 147 chỉ vá 67 lỗ hổng vào tháng trước, con số này tăng gần gấp đôi. Điều này có thể phản ánh việc Google đang đầu tư mạnh mẽ hơn vào kiểm tra bảo mật, hoặc đơn giản là do mã nguồn Chrome ngày càng phức tạp nên xuất hiện nhiều lỗ hổng hơn.

Theo đánh giá của chúng tôi, việc phát hiện và vá một lượng lớn lỗ hổng như vậy vừa là tin tốt vừa là tin xấu. Tin tốt là Google đang chủ động phát hiện và khắc phục các vấn đề trước khi chúng bị tin tặc khai thác. Tin xấu là con số 127 cho thấy Chrome vẫn còn quá nhiều điểm yếu tiềm ẩn. Đặc biệt đáng quan tâm là sự hiện diện của các lỗ hổng critical-severity, những lỗ hổng có thể cho phép tin tặc kiểm soát hoàn toàn thiết bị của nạn nhân.

Integer overflow và use-after-free: hai hiểm họa ẩn giấu

Trong số 127 lỗ hổng được vá, hai loại lỗ hổng nghiêm trọng nhất là integer overflow (tràn số nguyên) và use-after-free (sử dụng sau khi giải phóng bộ nhớ). Integer overflow xảy ra khi một phép tính tạo ra kết quả vượt quá giới hạn lưu trữ của kiểu dữ liệu, khiến chương trình hoạt động bất thường và có thể bị tin tặc lợi dụng để thực thi mã độc. Đây là lỗ hổng đặc biệt nguy hiểm vì nó có thể được kích hoạt chỉ bằng việc truy cập một trang web độc hại.

Use-after-free là loại lỗ hổng xảy ra khi chương trình tiếp tục sử dụng một vùng nhớ đã được giải phóng, tạo ra cơ hội cho tin tặc chèn mã độc vào vùng nhớ đó. Chúng tôi đánh giá đây là một trong những lỗ hổng nguy hiểm nhất vì nó có thể dẫn đến remote code execution (RCE - thực thi mã từ xa), cho phép kẻ tấn công kiểm soát hoàn toàn máy tính nạn nhân mà không cần bất kỳ sự tương tác nào từ người dùng ngoài việc duyệt web bình thường.

Hậu quả khôn lường đối với người dùng Việt Nam

Với Chrome chiếm tới 65% thị phần trình duyệt tại Việt Nam theo thống kê của StatCounter, việc 127 lỗ hổng này tồn tại có nghĩa khoảng 35 triệu người dùng internet Việt Nam đang tiềm ẩn rủi ro bảo mật nghiêm trọng. Các lỗ hổng critical-severity có thể được khai thác thông qua các cuộc tấn công drive-by download (tải xuống tự động khi truy cập website), một phương thức tấn công phổ biến mà chúng tôi đã ghi nhận gia tăng mạnh tại Việt Nam trong năm 2024.

Tình trạng này đặc biệt nghiêm trọng khi xét đến thói quen sử dụng của người Việt Nam thường trì hoãn cập nhật phần mềm. Theo khảo sát của Cục An toàn thông tin, có tới 47% người dùng Việt Nam không thường xuyên cập nhật trình duyệt. Điều này có nghĩa hàng triệu người đang sử dụng phiên bản Chrome chứa đựng những lỗ hổng đã được tin tặc biết đến và có thể khai thác bất cứ lúc nào.

Bảo vệ ngay lập tức: hành động không thể chậm trễ

Người dùng Việt Nam cần thực hiện ngay các bước sau để bảo vệ bản thân. Đầu tiên, mở Chrome và truy cập chrome://settings/help để kiểm tra phiên bản hiện tại. Nếu chưa phải Chrome 148.0.6613.113 hoặc mới hơn, hãy nhấn "Cập nhật Google Chrome" và khởi động lại trình duyệt ngay lập tức. Việc cập nhật này là MIỄN PHÍ và chỉ mất vài phút nhưng có thể cứu bạn khỏi những cuộc tấn công nghiêm trọng.

Chúng tôi khuyến nghị mạnh mẽ người dùng nên bật tính năng tự động cập nhật để tránh việc quên cập nhật trong tương lai. Ngoài ra, hãy cân nhắc sử dụng phần mềm chống virus có khả năng phát hiện các cuộc tấn công web-based và thường xuyên sao lưu dữ liệu quan trọng. Đối với doanh nghiệp, cần có chính sách cập nhật bảo mật nghiêm ngặt và đào tạo nhân viên về nhận biết các mối đe dọa trực tuyến để giảm thiểu rủi ro từ những lỗ hổng chưa được vá.