Ngày 11 tháng 11 năm 2025, Quỹ Mozilla đã công bố ba cảnh báo bảo mật khẩn cấp, giải quyết tổng cộng 16 lỗ hổng CVE riêng biệt ảnh hưởng đến nhiều phiên bản và nền tảng của trình duyệt Firefox. Các bản cập nhật này được thiết kế để khắc phục các vấn đề trong Firefox 145, Firefox ESR 115.30 và Firefox ESR 140.5. Trong số này, 12 lỗ hổng được đánh giá là có tác động Cao và 14 lỗ hổng khác được xếp loại Trung bình, tiềm ẩn nguy cơ cho hàng triệu người dùng trên toàn cầu.

Các lỗ hổng nghiêm trọng nhất cho phép thực hiện remote code execution và các cuộc tấn công thoát khỏi sandbox. Điều này được thực hiện thông qua các điểm yếu trong xử lý đồ họa WebGPU, lỗi biên dịch JavaScript engine và các điều kiện chạy đua (race conditions) trong thành phần Đồ họa. Theo phân loại của Mozilla, các lỗ hổng có tác động Cao có thể bị kẻ tấn công khai thác để chạy mã tùy ý và cài đặt phần mềm độc hại mà không yêu cầu tương tác của người dùng, chỉ cần duyệt web thông thường.

Phân tích mức độ nghiêm trọng của các lỗ hổng CVE trong Firefox

Các bản vá bảo mật mới nhất từ Mozilla giải quyết một phổ rộng các mối đe dọa, với trọng tâm chính vào khả năng thực thi mã từ xa và vượt qua các rào cản bảo mật của trình duyệt. Việc này làm nổi bật tính cấp bách của việc hiểu rõ và ứng phó với các lỗ hổng CVE này.

Remote Code Execution (RCE) và Nguy cơ chiếm quyền điều khiển

Khả năng remote code execution (RCE) là một trong những loại lỗ hổng nguy hiểm nhất, cho phép kẻ tấn công thực thi mã tùy ý trên hệ thống của nạn nhân từ xa. Trong bối cảnh Firefox, điều này có nghĩa là một trang web độc hại có thể kích hoạt mã để kiểm soát trình duyệt, truy cập dữ liệu nhạy cảm hoặc thậm chí mở rộng quyền kiểm soát ra toàn bộ hệ thống. Các lỗ hổng liên quan đến xử lý đồ họa WebGPU, lỗi biên dịch JavaScript JIT (Just-In-Time) và các điều kiện chạy đua là những con đường chính để đạt được RCE.

Một số lỗ hổng thoát khỏi sandbox, được xác định là CVE-2025-13023 và CVE-2025-13026, đại diện cho mối đe dọa đặc biệt nghiêm trọng. Sandbox là một cơ chế bảo mật cốt lõi của Firefox, được thiết kế để cô lập các quy trình trình duyệt khỏi các tài nguyên hệ thống quan trọng. Bằng cách vượt qua cơ chế này, kẻ tấn công có thể mở rộng đáng kể phạm vi tấn công, từ việc truy cập các tệp cục bộ đến thực hiện các hành động độc hại trên hệ điều hành. Điều này làm gia tăng đáng kể nguy cơ bị chiếm quyền điều khiển hệ thống.

Các lỗ hổng kỹ thuật chi tiết

Phân tích chi tiết cho thấy các vấn đề nghiêm trọng tập trung vào các thành phần quan trọng của Firefox. Thành phần xử lý đồ họa WebGPU đã được xác định là một bề mặt tấn công đáng kể, với năm lỗi điều kiện biên (boundary condition flaws) riêng biệt. Các lỗi này có thể dẫn đến việc ghi đè bộ nhớ (memory corruption) và tạo điều kiện cho RCE.

Các nhà nghiên cứu bảo mật, trong đó có Project KillFuzz của Qrious Secure, đã phát hiện các vấn đề trong quá trình biên dịch JIT (Just-In-Time) của JavaScript. Các lỗi này có thể cho phép kẻ tấn công thực hiện remote code execution bằng cách cung cấp các payload JavaScript được tạo đặc biệt. Lỗi biên dịch JIT thường liên quan đến việc tối ưu hóa mã, và một sai sót nhỏ có thể tạo ra một vectơ tấn công mạnh mẽ.

Ngoài ra, nhiều lỗ hổng Same-origin policy bypasses ảnh hưởng đến các thành phần DOM (Document Object Model). Những lỗ hổng này có thể cho phép kẻ tấn công vượt qua chính sách cùng nguồn gốc, một cơ chế bảo mật cơ bản ngăn chặn truy cập dữ liệu giữa các nguồn khác nhau. Khi bị bỏ qua, kẻ tấn công có thể đọc dữ liệu nhạy cảm từ các trang web khác hoặc tiêm mã độc hại vào các thuộc tính web hợp pháp.

Các phiên bản Firefox ESR cũng đã nhận được các bản vá bảo mật quan trọng giải quyết các lỗ hổng an toàn bộ nhớ (memory safety vulnerabilities) thông qua một loạt các sửa lỗi tập thể (CVE-2025-13027). Các lỗ hổng an toàn bộ nhớ là nguyên nhân gốc rễ của nhiều vấn đề bảo mật nghiêm trọng khác, bao gồm RCE và các cuộc tấn công từ chối dịch vụ (DoS).

Cập nhật phiên bản và Tầm quan trọng của bản vá bảo mật

Để duy trì một môi trường duyệt web an toàn và giảm thiểu rủi ro từ các lỗ hổng CVE, việc cập nhật trình duyệt là bước phòng thủ thiết yếu. Mozilla đã cung cấp các bản vá bảo mật cho các phiên bản cụ thể, nhấn mạnh sự cần thiết của hành động nhanh chóng.

Các phiên bản Firefox cần cập nhật ngay lập tức

Mozilla khuyến nghị tất cả người dùng và tổ chức nâng cấp ngay lập tức lên các phiên bản Firefox mới nhất để bảo vệ khỏi các mối đe dọa này:

• Firefox 145
• Firefox ESR 140.5
• Firefox ESR 115.30

Người dùng có thể thực hiện cập nhật thông qua cơ chế cập nhật tự động của trình duyệt hoặc bằng cách truy cập trang web chính thức của Mozilla. Đối với các phiên bản hỗ trợ dài hạn (ESR), được sử dụng rộng rãi trong các môi trường doanh nghiệp và tổ chức, việc áp dụng bản vá bảo mật kịp thời là vô cùng quan trọng. Sự ổn định của các phiên bản ESR không nên là lý do để trì hoãn cập nhật, vì việc này có thể làm suy yếu tư thế an ninh mạng tổng thể của tổ chức.

Để tìm hiểu chi tiết hơn về các khuyến nghị và thông tin kỹ thuật của từng lỗ hổng, bạn có thể tham khảo các cảnh báo bảo mật chính thức của Mozilla tại: Mozilla Security Advisories.

Phương thức khai thác và Khuyến nghị tăng cường an ninh mạng

Các cảnh báo bảo mật của Mozilla làm rõ rằng việc khai thác các lỗ hổng CVE này thường yêu cầu kẻ tấn công phải phân phối nội dung độc hại. Điều này có thể xảy ra thông qua các trang web bị xâm nhập hoặc thông qua các cuộc tấn công mạng được thiết kế đặc biệt. Mặc dù yêu cầu này, rủi ro vẫn rất cao do cơ chế khai thác tinh vi.

Một điểm đáng báo động là việc khai thác các lỗ hổng này thường không yêu cầu tương tác đặc biệt nào từ phía người dùng ngoài hành vi duyệt web thông thường. Điều này làm tăng đáng kể mức độ phơi nhiễm rủi ro cho toàn bộ cơ sở người dùng. Một cú nhấp chuột hoặc đơn giản là truy cập một trang web bị nhiễm độc có thể là đủ để kích hoạt mã độc và dẫn đến hệ thống bị xâm nhập.

Chiến lược bảo vệ và phòng ngừa

Để bảo vệ hiệu quả chống lại các lỗ hổng CVE này và các mối đe dọa tương tự, việc cập nhật trình duyệt Firefox lên phiên bản mới nhất là biện pháp cơ bản và cấp bách nhất. Ngoài ra, việc duy trì một môi trường an ninh mạng mạnh mẽ đòi hỏi nhiều lớp bảo vệ:

• Sử dụng phần mềm diệt virus và anti-malware đáng tin cậy.
• Triển khai tường lửa (firewall) ở cấp độ mạng và máy chủ.
• Kích hoạt và cập nhật các công cụ lọc web, hệ thống phát hiện và ngăn chặn xâm nhập (IDS/IPS).
• Thường xuyên sao lưu dữ liệu quan trọng.
• Đào tạo nhận thức về an ninh mạng cho người dùng cuối để nhận biết các dấu hiệu của trang web độc hại hoặc các cuộc tấn công lừa đảo (phishing).

Việc áp dụng một chiến lược bảo mật toàn diện sẽ giúp giảm thiểu rủi ro từ các cuộc tấn công khai thác lỗ hổng CVE và duy trì một môi trường kỹ thuật số an toàn hơn.