Mozilla vá hai lỗ hổng bảo mật nghiêm trọng trong Firefox bị khai thác tại Pwn2Own Berlin

Hai lỗ hổng bảo mật zero-day trong Firefox bị khai thác tại cuộc thi Pwn2Own Berlin – người dùng cần cập nhật ngay để bảo vệ hệ thống

Mozilla đã phát hành bản cập nhật bảo mật để khắc phục hai lỗ hổng nghiêm trọng trong trình duyệt Firefox, được theo dõi với mã CVE-2025-4918 và CVE-2025-4919. Cả hai lỗ hổng này đã bị khai thác dưới dạng zero-day tại cuộc thi Pwn2Own Berlin, mỗi lỗ hổng mang về phần thưởng 50.000 USD cho các nhà nghiên cứu phát hiện.

• CVE-2025-4918: Lỗi truy cập ngoài vùng nhớ khi xử lý đối tượng Promise trong JavaScript, cho phép kẻ tấn công đọc hoặc ghi dữ liệu trái phép.

• CVE-2025-4919: Lỗi truy cập ngoài vùng nhớ khi tối ưu hóa phép cộng tuyến tính, cho phép kẻ tấn công thao túng đối tượng JavaScript bằng cách gây nhầm lẫn về kích thước chỉ số mảng.

Việc khai thác thành công các lỗ hổng này có thể dẫn đến rò rỉ dữ liệu nhạy cảm hoặc thực thi mã độc trên hệ thống người dùng. Mặc dù các cuộc tấn công không vượt qua được sandbox của Firefox, Mozilla vẫn khuyến nghị người dùng cập nhật trình duyệt để đảm bảo an toàn bảo mật.

Các phiên bản bị ảnh hưởng bao gồm:

• Tất cả các phiên bản Firefox trước 138.0.4 (bao gồm cả Firefox cho Android)

• Tất cả các phiên bản Firefox ESR trước 128.10.1

• Tất cả các phiên bản Firefox ESR trước 115.23.1

Giải pháp:

• Cập nhật trình duyệt ngay: Người dùng nên nâng cấp Firefox lên phiên bản 138.0.4 hoặc mới hơn để khắc phục các lỗ hổng bảo mật.

• Kiểm tra và cập nhật Firefox ESR: Đối với người dùng phiên bản Extended Support Release (ESR), cần cập nhật lên phiên bản 128.10.1 hoặc 115.23.1 tùy thuộc vào phiên bản đang sử dụng.

• Theo dõi thông tin bảo mật: Luôn cập nhật các thông tin từ Mozilla và các cơ quan an ninh mạng để đảm bảo hệ thống luôn được bảo vệ khỏi các mối đe dọa mới.

Hương