Tâm điểm của đợt vá lần này là CVE-2026-3062, được đánh giá là nghiêm trọng nhất. Lỗ hổng tồn tại trong Tint – trình biên dịch shader của WebGPU, cho phép đọc và ghi vượt giới hạn bộ nhớ trong quá trình xử lý shader. Đáng chú ý, khả năng ghi vượt giới hạn có thể làm hỏng cấu trúc bộ nhớ của tiến trình renderer, từ đó mở đường cho thực thi mã tùy ý nếu bị khai thác thành công. Với việc WebGPU ngày càng được tích hợp sâu nhằm phục vụ xử lý đồ họa và tính toán hiệu năng cao trên web, chuỗi xử lý shader của trình duyệt trở thành mục tiêu tấn công có giá trị.
Bên cạnh đó, thành phần xử lý đa phương tiện cũng ghi nhận lỗ hổng CVE-2026-3061, một lỗi đọc vượt giới hạn bộ nhớ do nhà nghiên cứu Luke Francis phát hiện. Lỗi này có thể bị kích hoạt khi trình duyệt xử lý tệp media được thiết kế đặc biệt hoặc nội dung web nhúng mã khai thác. Trong trường hợp bị lợi dụng, kẻ tấn công có thể truy xuất dữ liệu ngoài vùng bộ nhớ hợp lệ, từ đó phục vụ thu thập thông tin hoặc kết hợp với các kỹ thuật khác trong chuỗi tấn công. Lỗi này có thể bị lợi dụng trong các kịch bản tấn công gián tiếp thông qua website bị xâm nhập.
Google đã phát hành bản cập nhật nâng Google Chrome lên phiên bản 145.0.7632.116/117 đối với Windows và macOS, trong khi người dùng Linux được cập nhật lên bản 144.0.7559.116. Theo hãng, quá trình triển khai sẽ diễn ra theo từng đợt trong những ngày tới. Chi tiết kỹ thuật của các lỗ hổng sẽ tiếp tục được hạn chế cho đến khi phần lớn người dùng hoàn tất cập nhật, nhằm giảm nguy cơ bị vũ khí hóa sớm. Thông tin chuyên sâu chỉ được công bố rộng rãi sau khi tỷ lệ triển khai bản vá đạt mức an toàn.
Người dùng có thể kiểm tra phiên bản và kích hoạt cập nhật thủ công bằng cách truy cập chrome://settings/help. Với các tổ chức sử dụng Chrome làm trình duyệt mặc định, quản trị viên cần ưu tiên đẩy bản vá thông qua hệ thống quản lý tập trung để đảm bảo toàn bộ thiết bị đầu cuối được cập nhật đồng bộ.
