Mozilla đã phát hành phiên bản Firefox 152 nhằm khắc phục hàng loạt lỗ hổng bảo mật nghiêm trọng, có khả năng dẫn đến tấn công remote code execution (RCE) và vượt qua cơ chế sandbox. Bản cập nhật này là một phần quan trọng trong việc bảo vệ người dùng khỏi các mối đe dọa mạng tiềm ẩn.
Phân tích chi tiết các lỗ hổng bảo mật nghiêm trọng
Bản tin bảo mật được công bố vào ngày 16 tháng 6 năm 2026 đã nêu bật phạm vi rộng lớn của các lỗi bảo mật ảnh hưởng đến các thành phần cốt lõi của trình duyệt. Điều này nhấn mạnh tính cấp bách của việc người dùng cần cập nhật ngay lập tức để tránh rủi ro bảo mật.
Các lỗ hổng ảnh hưởng đến bảo mật thông tin
Nhiều lỗ hổng được vá trong phiên bản này được phân loại là có tác động cao, chủ yếu liên quan đến các vấn đề về an toàn bộ nhớ, lỗi use-after-free và các lỗ hổng leo thang đặc quyền. Những loại lỗ hổng này có thể bị kẻ tấn công khai thác thông qua các nội dung web được chế tạo đặc biệt.
Việc khai thác thành công có thể cho phép thực thi mã tùy ý trên các hệ thống bị ảnh hưởng, dẫn đến nguy cơ xâm nhập mạng nghiêm trọng.
Các lỗ hổng nguy cơ cao nổi bật
- CVE-2026-12289: Lỗ hổng leo thang đặc quyền trong thành phần WebRender, có khả năng cho phép kẻ tấn công có được quyền truy cập nâng cao.
- CVE-2026-12291: Lỗ hổng use-after-free trong thành phần mạng HTTP, dẫn đến lỗi hư hỏng bộ nhớ (memory corruption).
- CVE-2026-12293: Lỗ hổng use-after-free trong thành phần WebGPU, có thể được sử dụng để thực thi mã.
- CVE-2026-12294 đến CVE-2026-12297: Nhiều lỗ hổng vượt qua cơ chế sandbox, ảnh hưởng đến DOM Workers, Navigation và các cơ chế sandbox của tiến trình.
- CVE-2026-12299: Lỗi JIT miscompilation trong các thành phần DOM và HTML, có thể dẫn đến hành vi thực thi không mong muốn.
Các vấn đề liên quan đến an toàn bộ nhớ
Ngoài ra, Mozilla còn báo cáo về nhiều lỗi an toàn bộ nhớ (ví dụ: CVE-2026-12290, CVE-2026-12298, CVE-2026-12326, CVE-2026-12328) đã thể hiện rõ vấn đề hư hỏng bộ nhớ. Những lỗi này đặc biệt nguy hiểm vì kẻ tấn công có thể lợi dụng chúng để thực thi mã tùy ý từ xa.
Sự hiện diện của nhiều lỗ hổng vượt qua sandbox làm tăng đáng kể bề mặt tấn công tiềm năng.
Kịch bản khai thác kết hợp và tác động hệ thống
Trong một chuỗi khai thác điển hình, kẻ tấn công có thể trước tiên khai thác một lỗ hổng hư hỏng bộ nhớ để đạt được quyền thực thi mã trong trình duyệt. Sau đó, chúng sử dụng lỗ hổng vượt qua sandbox để phá vỡ các ranh giới bảo mật của trình duyệt và xâm nhập hệ thống cơ bản.
Ví dụ, việc kết hợp CVE-2026-12291 (use-after-free) với CVE-2026-12294 (vượt qua sandbox trong DOM Workers) có thể cho phép chiếm quyền điều khiển hoàn toàn từ trình duyệt đến hệ thống.
Điều này cho thấy mức độ nghiêm trọng của các lỗ hổng này và khả năng gây ra thiệt hại lớn cho hệ thống. Việc phát hiện sớm các dấu hiệu xâm nhập là cực kỳ quan trọng.
Các lỗ hổng có mức độ nghiêm trọng khác
Bên cạnh các lỗ hổng rủi ro cao, Mozilla cũng đã xử lý một số lỗ hổng có mức độ nghiêm trọng trung bình và thấp. Bao gồm:
- Một lỗi bỏ qua chính sách cùng nguồn gốc (same-origin policy bypass) (CVE-2026-12304) ảnh hưởng đến việc xử lý cookie.
- Các vấn đề tiết lộ thông tin trong thành phần WebGPU và Trình quản lý mật khẩu.
- Nhiều lỗ hổng bỏ qua biện pháp giảm thiểu trong các cơ chế bảo mật DOM.
- Các vấn đề từ chối dịch vụ (Denial-of-Service – DoS) trong các thành phần phát lại phương tiện và đồ họa.
- Vô số lỗi an toàn bộ nhớ trên nhiều module khác nhau.
Mặc dù các vấn đề này ít nghiêm trọng hơn khi đứng riêng lẻ, chúng vẫn có thể được kết hợp với các lỗ hổng khác để tăng cường hiệu quả tấn công, tạo ra những mối đe dọa mạng phức tạp.
Thông tin chi tiết về bản vá và khuyến nghị cập nhật
Theo bản tin an ninh MFSA 2026-57, Mozilla đã vá các lỗ hổng này trong Firefox 152, Firefox ESR 140.12, Firefox ESR 115.37 và Thunderbird 152. Các phiên bản cũ hơn vẫn còn tồn tại các rủi ro bảo mật.
Người dùng và các tổ chức nên thực hiện các bước sau để đảm bảo an toàn thông tin:
- Cập nhật Firefox lên phiên bản 152 hoặc mới hơn.
- Áp dụng các bản cập nhật ESR mới nhất cho các phiên bản Firefox ESR.
- Bật tính năng cập nhật tự động trên trình duyệt.
- Theo dõi các hệ thống để phát hiện dấu hiệu hoạt động đáng ngờ của trình duyệt hoặc các nỗ lực khai thác.
Bản cập nhật Firefox 152 giải quyết một bộ lỗ hổng quan trọng, nhiều trong số đó có thể bị kết hợp để đạt được việc thực thi mã từ xa và chiếm quyền kiểm soát hệ thống hoàn toàn. Với sự hiện diện của các yếu tố khai thác tích cực như hư hỏng bộ nhớ và vượt qua sandbox, việc cập nhật bản vá kịp thời là điều cần thiết để duy trì an ninh mạng cho trình duyệt.
Để biết thêm thông tin chi tiết về các lỗ hổng này, vui lòng tham khảo trang web của Mozilla Security Advisories: MFSA 2026-57.
