Nhiều lỗ hổng nghiêm trọng cho phép thực thi mã tùy ý trong Mozilla Firefox & Thunderbird
Mozilla vừa phát hành bản vá khẩn cấp cho nhiều lỗ hổng bảo mật ảnh hưởng đồng thời đến Firefox, Firefox ESR, Thunderbird và Thunderbird ESR. Nghiêm trọng nhất trong số này cho phép kẻ tấn công thực thi mã tùy ý trên hệ thống nạn nhân. Hiện tại, chưa ghi nhận các lỗ hổng này bị khai thác trên thực tế.
Thông tin chi tiết
| Định danh | Mô tả | Điểm CVSS (3.1) | Mức độ |
|---|---|---|---|
| CVE-2026-5731 | Lỗi memory safety bugs ảnh hưởng toàn bộ sản phẩm | 9.8 | CRITICAL |
| CVE-2026-5734 | Lỗi memory safety bugs ảnh hưởng Firefox ESR 140.x, Thunderbird ESR 140.x, Firefox và Thunderbird 149.x | 9.8 | CRITICAL |
| CVE-2026-5735 | Lỗi memory safety bugs ảnh hưởng Firefox 149.0.2 và Thunderbird 149.0.2 | 9.8 | CRITICAL |
| CVE-2026-5732 | Sai điều kiện biên (incorrect boundary conditions) và integer overflow trong Graphics | 8.8 | HIGH |
| CVE-2026-5733 | Sai điều kiện biên (incorrect boundary conditions) trong Graphics | 8.8 | HIGH |
Mô tả chung: Các lỗ hổng memory safety trong engine xử lý của Mozilla có thể bị khai thác thông qua kỹ thuật Drive-by Compromise (T1189) — tức là chỉ cần nạn nhân truy cập một trang web hoặc mở email độc hại, kẻ tấn công có thể thực thi mã tùy ý mà không cần thêm bất kỳ tương tác nào. Mức độ tác động phụ thuộc vào quyền của tài khoản người dùng đang chạy trình duyệt hoặc email client.
Phiên bản bị ảnh hưởng:
Firefox trước 149.0.2
Firefox ESR trước 140.9.1
Firefox ESR trước 115.34.1
Thunderbird trước 149.0.2
Thunderbird ESR trước 140.9.1
Mozilla Firefox là trình duyệt web mã nguồn mở phổ biến, được sử dụng rộng rãi bởi cả người dùng cá nhân lẫn doanh nghiệp. Firefox ESR (Extended Support Release) là phiên bản được thiết kế đặc biệt cho các tổ chức lớn, ưu tiên sự ổn định và hỗ trợ dài hạn.
Mozilla Thunderbird là email client mã nguồn mở, tương tự Firefox ESR, phiên bản Thunderbird ESR được triển khai chủ yếu trong môi trường doanh nghiệp quy mô lớn.
Đây là các phần mềm hiện diện trên hàng triệu thiết bị đầu cuối trong các tổ chức thuộc mọi lĩnh vực, khiến bề mặt tấn công tiềm năng rất rộng.
Các lỗ hổng memory safety nghiêm trọng (CVE-2026-5731, 5734, 5735) có thể bị khai thác theo kịch bản Drive-by Compromise — kẻ tấn công nhúng mã độc vào trang web hoặc email, và chỉ cần nạn nhân mở nội dung đó là đủ để kích hoạt khai thác mà không cần bất kỳ thao tác nào khác.
Hậu quả khi khai thác thành công tùy thuộc vào quyền hạn của tài khoản đang sử dụng:
Tài khoản thông thường: Kẻ tấn công có thể xem, chỉnh sửa hoặc xóa dữ liệu của người dùng
Tài khoản quản trị: Kẻ tấn công có thể cài đặt phần mềm, tạo tài khoản mới với toàn quyền hệ thống, hoàn toàn kiểm soát máy tính nạn nhân
Đây là lý do MS-ISAC đánh giá mức độ rủi ro ở mức HIGH đối với các tổ chức chính phủ và doanh nghiệp vừa và lớn.
Do các lỗ hổng này có thể bị khai thác thụ động (không cần tương tác người dùng ngoài việc mở trang web/email), các tổ chức cần ưu tiên xử lý ngay:
Cập nhật bản vá ngay lập tức lên các phiên bản đã được vá:
Firefox → 149.0.2 trở lên
Firefox ESR → 140.9.1 hoặc 115.34.1 trở lên
Thunderbird → 149.0.2 trở lên
Thunderbird ESR → 140.9.1 trở lên
Áp dụng nguyên tắc quyền tối thiểu (Least Privilege): Đảm bảo người dùng không chạy trình duyệt hoặc email client với quyền quản trị, nhằm giảm thiểu hậu quả nếu bị khai thác.
Bật các tính năng chống khai thác: Kích hoạt DEP, WDEG (Windows) hoặc SIP/Gatekeeper (macOS) trên toàn bộ thiết bị đầu cuối.
Kiểm soát nội dung web: Triển khai DNS filtering, URL filtering và chặn các loại file không cần thiết tại email gateway để ngăn chặn vector tấn công Drive-by Compromise.
Nâng cao nhận thức người dùng: Nhắc nhở nhân viên không truy cập các đường link hoặc mở tệp đính kèm từ nguồn không đáng tin cậy, đặc biệt qua email.
