Firefox, Chrome, Adobe và VMware đồng loạt tung bản vá cho hàng loạt lỗ hổng nghiêm trọng
Các hãng công nghệ lớn như Mozilla, Google, Adobe và VMware vừa phát hành bản cập nhật khẩn cấp để khắc phục nhiều lỗ hổng bảo mật nghiêm trọng, bao gồm các lỗi có nguy cơ bị khai thác thực thi mã từ...
Người dùng và các quản trị viên hệ thống cần lưu ý cập nhật phần mềm ngay lập tức sau khi hàng loạt nhà cung cấp công nghệ lớn phát hành các bản vá cho những lỗ hổng bảo mật nghiêm trọng.
Table Of Content
Mozilla Firefox
Mozilla đã phát hành phiên bản 152.0.6 để xử lý hai lỗ hổng nghiêm trọng (CVE-2026-15718 và CVE-2026-15719). Trong đó, CVE-2026-15718 liên quan đến lỗi con trỏ không hợp lệ trong thành phần JavaScript WebAssembly, còn CVE-2026-15719 là lỗi cô lập trang (site isolation) trong DOM Navigation. Dù Mozilla xác nhận đã có mã khai thác (exploit code) xuất hiện công khai, hiện chưa có báo cáo về các cuộc tấn công thực tế (in the wild).
Google Chrome
Google đã tung ra bản vá cho 15 lỗ hổng bảo mật trên trình duyệt Chrome, bao gồm hai lỗi use-after-free nghiêm trọng (CVE-2026-15764 và CVE-2026-15765) nằm trong lớp trừu tượng Ozone. Lỗ hổng này có thể cho phép kẻ tấn công từ xa thực thi hành vi tham nhũng heap thông qua các trang HTML được thiết kế đặc biệt nếu người dùng thực hiện các thao tác UI nhất định. Người dùng được khuyến cáo cập nhật lên phiên bản 150.0.7871.124 hoặc .125 tùy theo hệ điều hành.
Adobe
Adobe đã công bố bản cập nhật cho 88 lỗ hổng trên nhiều sản phẩm như ColdFusion, Commerce, Experience Manager và Illustrator. Đáng chú ý, Adobe ColdFusion ghi nhận nhiều lỗi nghiêm trọng với điểm CVSS cao, bao gồm các lỗ hổng path traversal, chèn mã (code injection), và SQL injection, có khả năng dẫn đến thực thi mã tùy ý. Ngoài ra, các sản phẩm như Adobe Commerce và Experience Manager cũng nhận được các bản vá cho lỗi tải tệp tin (file upload) và lỗ hổng server-side request forgery.
VMware
Broadcom đã khắc phục một lỗ hổng authentication bypass nghiêm trọng trên VMware Avi Load Balancer (CVE-2026-47865, điểm CVSS 9.8). Lỗ hổng này cho phép kẻ tấn công có quyền truy cập mạng có thể chiếm quyền điều khiển Avi Control plane. Lỗ hổng được phát hiện bởi chuyên gia từ Trung tâm An ninh mạng NATO (NCSC).
Mặc dù chưa có bằng chứng về việc các lỗ hổng này đang bị khai thác tích cực, các chuyên gia bảo mật khuyến nghị người dùng và doanh nghiệp nên ưu tiên cài đặt các bản cập nhật mới nhất để bảo vệ hệ thống trước các nguy cơ tấn công tiềm ẩn.
Nguồn tham khảo: The Hacker News



No Comment! Be the first one.