Mozilla đã phát hành các bản cập nhật bảo mật khẩn cấp để khắc phục hai lỗ hổng zero-day trong trình duyệt Firefox, được trình diễn và khai thác trong cuộc thi hacking Pwn2Own Berlin 2025.(NetmanageIT CTO Corner)
Hai lỗ hổng nghiêm trọng được phát hiện
- CVE-2025-4918: Lỗi đọc/ghi ngoài phạm vi trong động cơ JavaScript khi giải quyết các đối tượng Promise. Lỗi này đã được các nhà nghiên cứu Edouard Bochin và Tao Yan từ Palo Alto Networks phát hiện, và họ đã trình diễn thành công tại cuộc thi, nhận được phần thưởng trị giá 50.000 USD.
- CVE-2025-4919: Lỗi cho phép kẻ tấn công thực hiện đọc/ghi ngoài phạm vi trên một đối tượng JavaScript bằng cách gây nhầm lẫn kích thước chỉ số mảng. Lỗi này được nhà nghiên cứu Manfred Paul phát hiện, cho phép anh truy cập trái phép vào renderer của chương trình, và anh đã nhận được phần thưởng trị giá 50.000 USD.(SecurityWeek)
Đánh giá và biện pháp khắc phục
Mặc dù cả hai lỗ hổng đều được Mozilla đánh giá là nghiêm trọng, nhưng công ty cho biết không có cuộc tấn công nào trong cuộc thi có thể thoát khỏi sandbox của Firefox, nhờ vào việc tăng cường bảo mật trong năm nay.
Mozilla đã phát hành các bản vá cho cả phiên bản Firefox trên Desktop và Android, cùng với hai phiên bản Extended Support Releases (ESR), chỉ vài giờ sau khi cuộc thi kết thúc vào ngày thứ Bảy.(BleepingComputer)
Khuyến nghị cho người dùng
Để bảo vệ hệ thống của mình, người dùng nên cập nhật Firefox lên các phiên bản mới nhất càng sớm càng tốt.