Mozilla vừa chính thức tung ra phiên bản Firefox 97.0.2, Firefox ESR 91.6.1, Firefox for Android 97.3.0 và Focus 97.3.0. Đây là một bản cập nhật khẩn cấp để khắc phục hai lỗ hổng zero-day nghiêm trọng đang bị hacker khai thác.
Cả 2 đều là dạng lỗ hổng "Use-after-free (UAF)", liên quan tới thời điểm một ứng dụng cố gắng sử dụng bộ nhớ trước đó đã được dọn sạch. Khi khai thác lỗ hổng này, các tin tặc có thể làm cho ứng dụng bị ‘Crash’ vào thời điểm đó. Sau đó, chúng sẽ thực thi các lệnh trên thiết bị mà không cần được chủ nhân cho phép.
Theo đánh giá của các chuyên gia bảo mật, đây là một lỗ hổng nghiêm trọng. Thông qua nó, các hacker có thể thực hiện hầu như mọi câu lệnh từ xa. Những mã thực thi này bao gồm cả tải về mã độc để truy cập, khai thác sâu hơn vào thiết bị.
Hai lỗ hổng zero-day vừa được vá bởi Mozilla có mã theo dõi là CVE-2022-26485 và CVE-2022-26486 liên quan tới quy trình tham số XSLT và WebGPU IPC Framework tương ứng.
Theo Mozilla, các hacker hiện nay đang tập trung khai thác lỗ hổng này. Vì vậy, để đảm bảo an toàn cho các thiết bị, Mozilla khuyến cáo người dùng nên nhanh chóng cập nhật cho trình duyệt Firefox của mình.
Để kiểm tar bản cập nhật 1 cách thủ công, bạn vào Firefox menu > Help > About Firefox. Sau đó, Firefox sẽ tự kiểm tra và tải về, hoàn tất quá trình cập nhật cho bạn.
