Firefox, Chrome, Adobe và VMware đồng loạt vá nhiều lỗ hổng, cần cập nhật ngay

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
141
2.030 bài viết
Firefox, Chrome, Adobe và VMware đồng loạt vá nhiều lỗ hổng, cần cập nhật ngay
Mozilla, Google, Adobe và Broadcom đã đồng loạt phát hành các bản cập nhật bảo mật để khắc phục nhiều lỗ hổng nghiêm trọng trong Firefox, Chrome, Adobe ColdFusion và VMware Avi Load Balancer. Đáng chú ý, Mozilla xác nhận đã xuất hiện mã khai thác công khai (PoC) đối với hai lỗ hổng trên Firefox, trong khi một số lỗ hổng trên Chrome và VMware có thể dẫn đến thực thi mã từ xa hoặc chiếm quyền xác thực nếu bị khai thác thành công.
a508728d-5081-4b3f-b476-363e618fe9fd.png

Các chuyên gia khuyến nghị người dùng cá nhân và doanh nghiệp cần nhanh chóng cập nhật các bản vá mới nhất nhằm giảm thiểu nguy cơ bị tấn công.​

Mozilla vá hai lỗ hổng nghiêm trọng trên Firefox​

Mozilla đã phát hành các phiên bản Firefox 152, Firefox ESR 140.12, Firefox ESR 128.24 cùng các bản cập nhật dành cho Firefox trên Android để khắc phục hai lỗ hổng bảo mật nghiêm trọng.

Hai lỗ hổng được vá gồm:​
  • CVE-2026-52453 - Lỗi truy cập bộ nhớ ngoài phạm vi (Out-of-Bounds Read) trong JavaScript Engine.​
  • CVE-2026-52454 - Lỗi truy cập bộ nhớ ngoài phạm vi trong trình biên dịch JIT của JavaScript.​
Theo Mozilla, cả hai đều có thể dẫn tới treo trình duyệt, rò rỉ dữ liệu hoặc thực thi mã tùy ý trong những điều kiện nhất định.

Điều đáng chú ý là Mozilla xác nhận đã xuất hiện mã khai thác công khai (PoC) cho cả hai lỗ hổng, mặc dù hiện chưa ghi nhận việc bị khai thác trong thực tế. Sự tồn tại của PoC đồng nghĩa các nhóm tấn công có thể nhanh chóng phát triển công cụ khai thác hoàn chỉnh nếu người dùng không cập nhật kịp thời.​

Google Chrome vá nhiều lỗi bộ nhớ nghiêm trọng​

Google cũng phát hành bản cập nhật Chrome 150 nhằm xử lý nhiều lỗ hổng bảo mật, trong đó có hai lỗi nghiêm trọng:​
  • CVE-2026-15764 - Use-after-free trong Media Stream.​
  • CVE-2026-15765 - Use-after-free trong Profiles.​
Đây đều là các lỗi quản lý bộ nhớ (Memory Safety) phổ biến trong trình duyệt, có thể bị lợi dụng để thực thi mã độc khi người dùng truy cập trang web được thiết kế đặc biệt. Google khuyến nghị người dùng cập nhật Chrome ngay khi bản vá được phân phối đến thiết bị.​

Adobe tiếp tục vá hàng loạt lỗ hổng trên ColdFusion​

Adobe tiếp tục phát hành các bản cập nhật cho ColdFusion, khắc phục nhiều lỗ hổng có mức độ nghiêm trọng cao.

Đáng lưu ý, trước đó chỉ vài giờ sau khi Adobe công bố bản vá cho CVE-2026-48282, các chuyên gia đã ghi nhận những nỗ lực khai thác đầu tiên trên Internet, cho thấy ColdFusion vẫn là mục tiêu được tin tặc theo dõi rất sát.

Các doanh nghiệp sử dụng ColdFusion được khuyến nghị ưu tiên triển khai bản vá ngay lập tức và rà soát dấu hiệu xâm nhập nếu máy chủ từng được công khai trên Internet.​

VMware Avi Load Balancer vá lỗ hổng xác thực nghiêm trọng​

Broadcom cũng phát hành bản cập nhật cho VMware Avi Load Balancer, xử lý nhiều lỗ hổng, trong đó đáng chú ý là:​
  • CVE-2026-47865 - Lỗ hổng Authentication Bypass có điểm CVSS 9,8​
Lỗ hổng này có thể cho phép kẻ tấn công vượt qua cơ chế xác thực trong một số điều kiện nhất định và truy cập trái phép vào hệ thống.

Đối với các doanh nghiệp sử dụng Avi Load Balancer trong hạ tầng trung tâm dữ liệu hoặc môi trường cloud, việc chậm cập nhật có thể tạo ra nguy cơ đáng kể đối với hệ thống mạng nội bộ.​

Vì sao cần cập nhật ngay?​

Điểm đáng chú ý của đợt vá lần này là không chỉ số lượng lỗ hổng nhiều mà một số đã có mã khai thác công khai. Thông thường, sau khi PoC được công bố, khoảng thời gian từ lúc có bản vá đến khi xuất hiện các cuộc tấn công thực tế sẽ rút ngắn đáng kể. Những hệ thống chưa cập nhật trở thành mục tiêu ưu tiên của tin tặc.

Đối với doanh nghiệp, việc trì hoãn cập nhật có thể dẫn đến:​
  • Thực thi mã độc từ xa​
  • Chiếm quyền người dùng hoặc quản trị​
  • Rò rỉ dữ liệu​
  • Làm bàn đạp xâm nhập sâu hơn vào hệ thống nội bộ​

Chuyên gia khuyến nghị​

Người dùng và quản trị viên nên:​
  • Cập nhật ngay Firefox, Firefox ESR và Firefox for Android lên phiên bản mới nhất.​
  • Kiểm tra và cập nhật Google Chrome khi bản vá được phát hành trên thiết bị.​
  • Khẩn trương triển khai các bản vá Adobe ColdFusion nếu đang vận hành dịch vụ.​
  • Cập nhật VMware Avi Load Balancer lên phiên bản đã khắc phục lỗ hổng.​
  • Ưu tiên vá các hệ thống công khai trên Internet trước, đặc biệt là máy chủ ứng dụng và hạ tầng doanh nghiệp.​
  • Theo dõi nhật ký hệ thống để phát hiện các dấu hiệu khai thác bất thường sau khi bản vá được công bố.​
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Thẻ
chrome cve-2026-47865 cve-2026-52453 cve-2026-52454 google
Bên trên