Firefox bị tấn công bởi lỗ hổng bảo mật nghiêm trọng, lặp lại lỗ hổng Zero-Day của Chrome được sử dụng trong các cuộc tấn công mạng của Nga
Mozilla đã ban hành bản sửa lỗi bảo mật khẩn cấp cho Firefox sau khi phát hiện ra rằng một lỗ hổng nghiêm trọng—tương tự như lỗ hổng zero-day mới bị khai thác gần đây của Chrome—cũng tồn tại trong mã trình duyệt của nó. Lỗ hổng mới này của Firefox, hiện được theo dõi là CVE-2025-2857, gây ra mối đe dọa nghiêm trọng cho người dùng, đặc biệt là trên các hệ thống Windows.
Mục lục
Lỗi phản chiếu Chrome Zero-Day được sử dụng trong các cuộc tấn công có mục tiêu
Tiết lộ này được đưa ra chỉ vài ngày sau khi Google vá CVE-2025-2783, một lỗ hổng nghiêm trọng của Chrome đã bị khai thác tích cực trong thực tế. Lỗ hổng này, được công ty an ninh mạng Kaspersky phát hiện và báo cáo, là một phần của chiến dịch nhắm mục tiêu vào phương tiện truyền thông, tổ chức giáo dục và cơ quan chính phủ của Nga. Những kẻ tấn công đã có thể thoát khỏi các biện pháp bảo vệ hộp cát của Chrome, một tính năng bảo mật quan trọng được thiết kế để cô lập các quy trình và ngăn chặn sự xâm phạm toàn bộ hệ thống.
Theo Kaspersky, lỗ hổng này có thể đã được sử dụng từ giữa tháng 3 năm 2025 và được khai thác cùng với một lỗ hổng khác chưa xác định để thực thi mã từ xa. Chiến dịch tấn công, được gọi là Chiến dịch ForumTroll, sử dụng lời mời giả mạo đến một diễn đàn khoa học làm mồi nhử lừa đảo—một thủ thuật kỹ thuật xã hội cổ điển tỏ ra hiệu quả đối với các mục tiêu có giá trị cao.
Mozilla trả lời bằng bản vá lỗi Firefox
Để phản hồi lại việc tiết lộ lỗ hổng của Chrome, các nhà phát triển Mozilla đã tiến hành điều tra riêng và phát hiện ra rằng một vấn đề tương tự đã tồn tại trong mã Giao tiếp giữa các quy trình (IPC) của Firefox. Lỗi Firefox cũng liên quan đến việc quản lý xử lý không chính xác, có thể cho phép một quy trình con bị xâm phạm đánh lừa quy trình cha trả về một xử lý mạnh hơn dự định. Điều này mở ra cánh cửa cho một khả năng thoát khỏi hộp cát—một lỗ hổng bảo mật nghiêm trọng có thể cho phép kẻ tấn công leo thang đặc quyền của chúng hoặc xâm phạm các thành phần hệ thống bổ sung.
Mozilla xác nhận rằng lỗ hổng này chỉ ảnh hưởng đến Firefox trên nền tảng Windows. Sự cố đã được giải quyết trong các bản cập nhật Firefox sau:
- Trình duyệt Firefox 136.0.4
- Firefox ESR 128.8.1
- Firefox ESR 115.21.1
Trình duyệt Tor, dựa trên Firefox, cũng đã được cập nhật để giải quyết lỗ hổng này.
Chưa có lỗ hổng nào của Firefox được xác nhận
Trong khi Google xác nhận rằng lỗ hổng Chrome đã bị khai thác tích cực trong các cuộc tấn công mạng, Mozilla vẫn chưa thấy bằng chứng cho thấy biến thể Firefox đã được sử dụng trong thực tế. Tuy nhiên, công ty đã nhanh chóng vá lỗi, nhận ra khả năng bị lạm dụng—đặc biệt là khi xét đến bản chất nổi bật của các tác nhân đe dọa liên quan đến Chiến dịch ForumTroll.
Ý nghĩa rộng hơn trên các trình duyệt
Lỗ hổng Chrome đã được thêm vào danh mục Lỗ hổng đã khai thác được biết đến (KEV) của CISA, một danh sách dành riêng cho các lỗ hổng nguy hiểm nhất được xác nhận là đã được sử dụng trong các cuộc tấn công trong thế giới thực. CISA cũng cảnh báo rằng các trình duyệt dựa trên Chromium khác—bao gồm Microsoft Edge và Opera—có thể bị ảnh hưởng bởi các lỗ hổng tương tự. Microsoft đã ban hành khuyến cáo riêng của mình để ứng phó.
Mặc dù Firefox ít bị nhắm mục tiêu hơn Chrome, nhưng nó không miễn nhiễm. Trong thập kỷ qua, những kẻ tấn công đã khai thác hơn một chục lỗ hổng quan trọng trong trình duyệt. Ví dụ, vào cuối tháng 11 năm 2024, công ty an ninh mạng ESET đã tiết lộ rằng một nhóm APT của Nga đã liên kết các zero-day trong cả Firefox và Windows để triển khai một backdoor ẩn.
Người dùng Firefox nên làm gì
Nếu bạn đang sử dụng Firefox trên Windows, bạn nên cập nhật trình duyệt của mình ngay lập tức lên một trong các phiên bản đã vá được liệt kê ở trên. Người dùng Tor Browser cũng nên đảm bảo rằng họ đang chạy phiên bản mới nhất. Mặc dù chưa có cuộc tấn công Firefox nào được xác nhận, nhưng rủi ro do CVE-2025-2857 gây ra đủ nghiêm trọng để đảm bảo hành động khẩn cấp.
Như sự cố này cho thấy, các lỗ hổng zero-day có thể vượt qua ranh giới trình duyệt và kẻ tấn công nhanh chóng điều chỉnh phương pháp của chúng. Để đi trước nghĩa là phải cập nhật phần mềm của bạn và thận trọng khi nhấp vào các liên kết đáng ngờ—bất kể chúng có vẻ hợp pháp như thế nào.