Firefox tung bản cập nhật khẩn cấp để vá lỗ hổng zero-day đang bị hacker khai thác

Mozilla vừa phát hành bản cập nhật khẩn cấp Firefox 97.0.2, Firefox ESR 91.6.1, Firefox for Android 97.3.0 và Focus 97.3.0 để khắc phục hai lỗ hổng zero-day nghiêm trọng đang bị hacker khai thác.

Cả hai đều là lỗ hổng "Use-after-free (UAF)", liên quan tới thời điểm một ứng dụng cố gắng sử dụng bộ nhớ trước đó đã được dọn sạch. Khi khai thác lỗ hổng dạng này, hacker sẽ khiến chương trình bị cash vào đúng thời điểm đó để cho phép thực thi các câu lệnh trên thiết bị mà không cần có đặc quyền.

Lỗ hổng UAF được coi là nghiêm trọng bởi vì nó cho phép hacker thực thi gần như mọi câu lệnh từ xa, bao gồm cả tải về mã độc để truy cập, khai thác sâu hơn vào thiết bị.

Hai lỗ hổng zero-day vừa được vá bởi Mozilla có mã theo dõi là CVE-2022-26485 và CVE-2022-26486 liên quan tới quy trình tham số XSLT và WebGPU IPC Framework tương ứng. Theo Mozilla, hacker đang rất tích cực khai thác hai lỗ hổng này nên người dùng hãy mau chóng cập nhật Firefox.

Các chuyên gia bảo mật Trung Quốc thuộc công ty Qihoo 360 ATA đã phát hiện và báo cáo những lỗ hổng này cho Mozilla. Mặc dù Mozilla không công bố phương thức khai thác lỗ hổng nhưng nhiều khả năng hacker sẽ lừa người dùng truy cập vào các trang web giả mạo, chứa mã độc.

Do tính chất nguy hiểm của lỗ hổng và chúng lại còn đang bị khai thác tích cực, Mozilla khuyến cáo tất cả người dùng Firefox nên cập nhật ngay trình duyệt của mình.

Bạn có thể kiểm tra cập nhật thủ công bằng cách truy cập Firefox menu > Help > About Firefox. Sau đó, Firefox sẽ tự kiểm tra, tải về và cài đặt bản cập nhật mới nhất rồi thông báo khởi động lại trình duyệt để hoàn thành quá trình cập nhật.