-
09/04/2020
-
94
-
726 bài viết
CVE-2025-2857: Lỗ hổng Firefox Sandbox Escape mới, đe dọa người dùng Windows
Mozilla vừa phát hành bản cập nhật quan trọng Firefox 136.0.4 để khắc phục lỗ hổng bảo mật CVE-2025-2857. Đây là một lỗ hổng nghiêm trọng trong cơ chế quản lý Inter-Process Communication (IPC), cho phép kẻ tấn công vượt qua sandbox trên Firefox dành cho Windows.
Kẻ tấn công có thể khai thác lỗ hổng này bằng cách thực thi mã độc trong môi trường sandbox của trình duyệt, sau đó tận dụng lỗi quản lý handle để leo thang đặc quyền, vượt qua sandbox và chiếm quyền kiểm soát hệ thống. Được biết, lỗ hổng này tương tự như lỗ hổng zero-day CVE-2025-2783 trên Chrome đã được vá vào đầu tuần này.
"Kẻ tấn công có thể lợi dụng lỗi này để làm rối loạn tiến trình cha, khiến nó vô tình rò rỉ các handle cho các tiến trình con không có đặc quyền, dẫn đến việc thoát khỏi sandbox," Mozilla giải thích trong thông báo bảo mật của mình.
Lỗ hổng này chỉ ảnh hưởng đến người dùng Windows, trong khi người dùng Linux và macOS không bị ảnh hưởng.
CVE-2025-2857 có liên quan trực tiếp đến CVE-2025-2783, lỗ hổng từng bị khai thác trong chiến dịch APT Operation ForumTroll nhắm vào các tổ chức tại Nga. Kaspersky nhận định đây là một chiến dịch tấn công có chủ đích (APT - Advanced Persistent Threat) với kỹ thuật khai thác phức tạp.
Sau khi lỗ hổng trên Chrome được phát hiện, Firefox đã tiến hành kiểm tra cơ chế IPC của riêng họ và phát hiện một lỗi tương tự, dẫn đến việc phát hành bản vá lần này.
Sandbox là một cơ chế quan trọng giúp cô lập nội dung web khỏi các thành phần quan trọng của hệ thống. Nếu một tiến trình độc hại có thể thoát khỏi sandbox, nó có thể chiếm quyền kiểm soát toàn bộ hệ thống, đặc biệt trong các cuộc tấn công có chủ đích sử dụng nội dung web độc hại hoặc kỹ thuật drive-by download (tải xuống phần mềm độc hại mà người dùng không hay biết).
Nhằm khắc phục lỗ hổng, Mozilla đã nhanh chóng phát hành bản vá trên tất cả các phiên bản được hỗ trợ:
Người dùng Windows được khuyến cáo cập nhật ngay trình duyệt Firefox lên phiên bản mới nhất để đảm bảo an toàn.
Kẻ tấn công có thể khai thác lỗ hổng này bằng cách thực thi mã độc trong môi trường sandbox của trình duyệt, sau đó tận dụng lỗi quản lý handle để leo thang đặc quyền, vượt qua sandbox và chiếm quyền kiểm soát hệ thống. Được biết, lỗ hổng này tương tự như lỗ hổng zero-day CVE-2025-2783 trên Chrome đã được vá vào đầu tuần này.
"Kẻ tấn công có thể lợi dụng lỗi này để làm rối loạn tiến trình cha, khiến nó vô tình rò rỉ các handle cho các tiến trình con không có đặc quyền, dẫn đến việc thoát khỏi sandbox," Mozilla giải thích trong thông báo bảo mật của mình.
Lỗ hổng này chỉ ảnh hưởng đến người dùng Windows, trong khi người dùng Linux và macOS không bị ảnh hưởng.
CVE-2025-2857 có liên quan trực tiếp đến CVE-2025-2783, lỗ hổng từng bị khai thác trong chiến dịch APT Operation ForumTroll nhắm vào các tổ chức tại Nga. Kaspersky nhận định đây là một chiến dịch tấn công có chủ đích (APT - Advanced Persistent Threat) với kỹ thuật khai thác phức tạp.
Sau khi lỗ hổng trên Chrome được phát hiện, Firefox đã tiến hành kiểm tra cơ chế IPC của riêng họ và phát hiện một lỗi tương tự, dẫn đến việc phát hành bản vá lần này.
Sandbox là một cơ chế quan trọng giúp cô lập nội dung web khỏi các thành phần quan trọng của hệ thống. Nếu một tiến trình độc hại có thể thoát khỏi sandbox, nó có thể chiếm quyền kiểm soát toàn bộ hệ thống, đặc biệt trong các cuộc tấn công có chủ đích sử dụng nội dung web độc hại hoặc kỹ thuật drive-by download (tải xuống phần mềm độc hại mà người dùng không hay biết).
Nhằm khắc phục lỗ hổng, Mozilla đã nhanh chóng phát hành bản vá trên tất cả các phiên bản được hỗ trợ:
- Trình duyệt Firefox 136.0.4
- Firefox ESR 115.21.1
- Firefox ESR 128.8.1
Người dùng Windows được khuyến cáo cập nhật ngay trình duyệt Firefox lên phiên bản mới nhất để đảm bảo an toàn.
Theo Security Online