Lỗ hổng Zero-day nghiêm trọng trong Firefox

Nam Anh Mai D.Nam Anh Mai D.
3 min read

Vừa qua, trong giải Pwn2Own Berlin 2025, một trong những cuộc thi bảo mật lớn nhất thế giới dành cho các chuyên gia bảo mật, các đội thi đã phát hiện ra 02 lỗ hổng bảo mật zero-day nghiêm trọng trên trình duyệt web phổ biến Firefox. Ngay lập tức, hãng Mozilla đã tung ra bản vá kịp thời cho hai lỗ hổng trên, đồng thời khuyến nghị người dùng thực hiện cập nhật Firefox browser lên phiên bản mới nhất nhằm tránh xảy ra nguy cơ gây mất an toàn thông tin.

Thông tin chi tiết

Hai lỗ hổng được phát hiện tại cuộc thi Pwn2Own Berlin 2025 được định danh lần lượt là CVE-2025-4918 và CVE-2025-4919. Thông tin cụ thể như sau:

  • Định danh lỗ hổng: CVE-2025-4918

  • Điểm CVSS (3.1): 7.5

  • Mức độ nghiêm trọng: CRITICAL (theo Mozilla), High (theo NIST)

  • Mô tả: Đây là lỗi liên quan đến quản lý bộ nhớ trong JavaScript — cụ thể là với Promise object, một thành phần cốt lõi để xử lý các thao tác bất đồng bộ như gọi API hay xử lý file. Lợi dụng lỗ hổng này, kẻ tấn công có thể thực hiện đọc hoặc ghi ngoài phạm vi được cấp phát (Out-of-bounds) trên Promise object, từ đó có thể thực hiện các hành vi nguy hiểm như truy cập tới thông tin nhạy cảm, thoát khỏi sandbox của trình duyệt hoặc thực thi mã từ xa (RCE).

  • Định danh lỗ hổng: CVE-2025-4919

  • Điểm CVSS (3.1): 8.8

  • Mức độ nghiêm trọng: CRITICAL (theo Mozilla), High (theo NIST)

  • Mô tả: Đây là lỗi logic trong xử lý mảng của JavaScript engine (như V8, SpiderMonkey...), thường do lỗi trong tối ưu hóa hoặc xác thực chỉ số mảng. CVE-2025-4919 cho phép kẻ tấn công có thể đọc hoặc ghi ngoài phạm vi được cấp phát trên JavaScript object bằng cách khiến hệ thống ghi nhận sai kích thước của mảng được truyền vào (confusing array index sizes), từ đó có thể thực hiện các hành vi nguy hiểm như thoát sandbox của trình duyệt hoặc thực thi mã từ xa.

Hãng Mozilla cho biết, hai lỗ hổng nghiêm trọng trên tác động tới số lượng lớn các sản phẩm Firefox được người dùng sử dụng hiện nay. Cụ thể:

Sản phẩmPhiên bản bị ảnh hưởng
Firefox browser (bao gồm cả phiên bản Desktop và Android)Toàn bộ các phiên bản trước 138.0.4
Firefox Extended Support Release (ESR)Toàn bộ các phiên bản trước 128.10.1
Firefox ESRToàn bộ các phiên bản trước 115.23.1

Khuyến nghị & Khắc phục

Người dùng nên thực hiện cập nhật trình duyệt Firefox cá nhân lên các phiên bản 138.0.4, 128.10.1115.23.1 mới nhất để vá những lỗ hổng nghiêm trọng này. Trong bối cảnh sự gia tăng không ngừng của các hình thức tội phạm mạng hiện nay, việc khai thác các điểm yếu tồn tại trong trình duyệt web nhằm phát tán phần mềm độc hại là một trong những chiến lược của nhiều nhóm tin tặc. Ngoài liên tục cập nhật các bản vá bảo mật cho phần mềm, người dùng cũng cần nâng cao nhận thức cá nhân về các tác nhân độc hại nhằm tránh đối diện với các nguy cơ mất an toàn thông tin trong tương lai.

Tham khảo

  1. Security Vulnerabilities fixed in Firefox ESR 115.23.1 — Mozilla

  2. Firefox Patches 2 Zero-Days Exploited at Pwn2Own Berlin with $100K in Rewards

0
Subscribe to my newsletter

Read articles from Nam Anh Mai D. directly inside your inbox. Subscribe to the newsletter, and don't miss out.

threat intelligenceFirefox

Written by

Nam Anh Mai D.
Nam Anh Mai D.