Mozilla đã phát hành phiên bản Firefox 142, một bản cập nhật quan trọng nhằm khắc phục nhiều lỗ hổng CVE nghiêm trọng có khả năng cho phép những kẻ tấn công từ xa thực thi mã tùy ý trên các hệ thống bị ảnh hưởng.
Bản tư vấn bảo mật của Quỹ Mozilla, Mozilla Foundation Security Advisory 2025-64, được công bố vào ngày 19 tháng 8 năm 2025, đã trình bày chi tiết chín lỗ hổng khác nhau. Các lỗ hổng này có mức độ nghiêm trọng từ thực thi mã từ xa (remote code execution) đến các vấn đề liên quan đến giả mạo (spoofing) và từ chối dịch vụ (denial-of-service).
Phân tích Các Lỗ Hổng CVE Chính trong Firefox 142
Các lỗ hổng CVE đáng quan ngại nhất trong bản cập nhật này liên quan đến các lỗi an toàn bộ nhớ (memory safety bugs). Những lỗi này tiềm ẩn nguy cơ cao cho phép remote code execution, cho phép kẻ tấn công kiểm soát hoàn toàn hệ thống mục tiêu. Đây là một cảnh báo CVE đặc biệt nghiêm trọng, đòi hỏi sự chú ý tức thì.
Lỗ Hổng An Toàn Bộ Nhớ (Memory Safety Bugs)
Ba lỗ hổng CVE riêng biệt liên quan đến an toàn bộ nhớ đã được ghi nhận, ảnh hưởng đến các phiên bản Firefox và Thunderbird khác nhau. Các nhà nghiên cứu đã cung cấp bằng chứng rõ ràng về tình trạng hỏng bộ nhớ, một điểm yếu có thể bị khai thác triệt để bởi những kẻ tấn công có kỹ năng cao để giành quyền kiểm soát hệ thống.
- CVE-2025-9187: Lỗi này được khắc phục cụ thể trong Firefox 142 và Thunderbird 142. Nó giải quyết các vấn đề về an toàn bộ nhớ, ngăn chặn việc khai thác để thực thi mã độc.
- CVE-2025-9184: Lỗ hổng này có phạm vi ảnh hưởng rộng hơn, bao gồm các phiên bản Firefox ESR 140.2 và Thunderbird ESR 140.2. Đây là một vấn đề nghiêm trọng khác có thể dẫn đến remote code execution.
CVE-2025-9185: Lỗ Hổng Bộ Nhớ Phạm Vi Rộng
Lỗ hổng CVE có phạm vi ảnh hưởng lớn nhất là CVE-2025-9185. Lỗ hổng này tác động đến nhiều phiên bản Extended Support Release (ESR) của Firefox, kéo dài từ Firefox ESR 115.26 trở về trước. Điều này nhấn mạnh tính chất phổ biến và mức độ nghiêm trọng tiềm tàng của các vấn đề hỏng bộ nhớ này trên một lượng lớn người dùng Firefox ESR.
Các lỗi hỏng bộ nhớ như CVE-2025-9185 có thể dẫn đến các kịch bản tấn công nguy hiểm, từ từ chối dịch vụ đến việc giành quyền kiểm soát hệ thống thông qua remote code execution. Đây là một cảnh báo CVE cấp cao mà mọi quản trị viên hệ thống và người dùng cần lưu ý.
CVE-2025-9179: Lỗi Thoát Sandbox trong Thành phần Audio/Video GMP
Trong số các lỗ hổng riêng lẻ có mức độ nghiêm trọng cao, CVE-2025-9179 là một lỗ hổng thoát sandbox đặc biệt nguy hiểm. Lỗ hổng này ảnh hưởng đến thành phần Audio/Video GMP (Google Media Packets) của Firefox, một môi trường được bảo vệ nghiêm ngặt bằng sandbox để xử lý nội dung đa phương tiện được mã hóa.
Được báo cáo bởi nhà nghiên cứu Oskar, lỗi này cho phép kẻ tấn công thực hiện hỏng bộ nhớ bên trong tiến trình GMP đã được cô lập. Điều này có thể dẫn đến việc leo thang đặc quyền, vượt qua các hạn chế thông thường của tiến trình nội dung và tiềm ẩn khả năng thực thi mã độc bên ngoài sandbox. Thông tin chi tiết về lỗ hổng này có thể được tìm thấy trên NVD: CVE-2025-9179 trên NVD.
CVE-2025-9180: Lỗi Bypass Same-Origin Policy trong Graphics Canvas2D
Một lỗ hổng CVE đáng chú ý khác là CVE-2025-9180, được phát hiện bởi Tom Van Goethem. Lỗ hổng này cho phép bỏ qua chính sách cùng nguồn gốc (same-origin policy – SOP) trong thành phần Graphics Canvas2D. SOP là một cơ chế bảo mật quan trọng, ngăn chặn các tài liệu hoặc script từ một nguồn gốc tương tác với tài nguyên từ một nguồn gốc khác.
Việc bỏ qua SOP có thể cho phép các trang web độc hại truy cập dữ liệu nhạy cảm hoặc tài nguyên từ các miền khác mà không có sự cho phép thích hợp. Điều này phá vỡ một trong những nguyên tắc bảo mật cơ bản của trình duyệt, mở ra cánh cửa cho các cuộc tấn công đánh cắp dữ liệu hoặc lừa đảo phức tạp.
Tác Động Tổng Thể và Rủi Ro Bảo Mật
Sự kết hợp giữa khả năng thoát sandbox, các lỗ hổng hỏng bộ nhớ, và việc bỏ qua các chính sách bảo mật cơ bản tạo ra một bề mặt tấn công đáng kể. Những lỗ hổng CVE này có thể bị khai thác thông qua các trang web độc hại, email lừa đảo, hoặc nội dung bị xâm phạm, đặt người dùng vào nguy cơ cao.
Khả năng remote code execution thông qua các lỗ hổng an toàn bộ nhớ, cùng với khả năng vượt qua các biện pháp bảo vệ như sandbox, đặt ra một rủi ro bảo mật đặc biệt cao đối với tất cả người dùng Firefox. Nguy cơ chiếm quyền điều khiển hệ thống là một mối đe dọa thực tế.
Do đó, việc triển khai nhanh chóng bản cập nhật bản vá bảo mật này là cực kỳ quan trọng để duy trì an ninh trình duyệt. Một cảnh báo CVE như thế này yêu cầu hành động ngay lập tức từ cả tổ chức và người dùng cá nhân để giảm thiểu nguy cơ bị tấn công.
Khuyến Nghị và Biện Pháp Khắc Phục
Để bảo vệ hệ thống của mình khỏi các lỗ hổng CVE đã nêu, các tổ chức và người dùng cá nhân nên cập nhật ngay lập tức lên Firefox 142. Việc áp dụng bản bản vá bảo mật này là biện pháp phòng ngừa hiệu quả nhất để giảm thiểu rủi ro bị khai thác.
Để đảm bảo an toàn thông tin, người dùng có thể thực hiện kiểm tra phiên bản Firefox hiện tại và cập nhật thông qua chức năng tự động của trình duyệt. Quy trình cập nhật thường đơn giản, nhanh chóng và không yêu cầu nhiều thao tác.
# Đối với người dùng Linux (ví dụ, Ubuntu/Debian), có thể cập nhật thông qua terminal:
sudo apt update
sudo apt upgrade firefox
# Đối với người dùng Windows và macOS, cập nhật thường được thực hiện tự động.
# Bạn có thể kiểm tra và kích hoạt cập nhật thủ công bằng cách:
# Mở Firefox -> Chọn biểu tượng Menu (thường là ba dấu gạch ngang hoặc biểu tượng bánh răng)
# Chọn "Trợ giúp" -> "Giới thiệu Firefox"
# Trình duyệt sẽ tự động kiểm tra các bản cập nhật và tải xuống nếu có.
Việc không thực hiện cập nhật bản vá kịp thời có thể khiến hệ thống dễ bị tổn thương trước các cuộc tấn công khai thác lỗ hổng zero-day hoặc các kỹ thuật tấn công phức tạp khác. Luôn theo dõi các cảnh báo CVE từ Mozilla và các nguồn đáng tin cậy khác là điều cần thiết để duy trì một môi trường duyệt web an toàn và bảo mật.
