Cách khai thác lỗ hổng trình duyệt FireFox bị công bố

Hôm qua, một hacker đã đăng tải công khai trên mạng đoạn mã khai thác lỗ hổng mới tìm thấy bên trong phiên bản trình duyệt Firefox mới nhất.

Nguồn: Linuxgraphic

Đoạn mã nói trên được hacker có nick H D Moore post lên site Metasploit Project, nhằm vào mục tiêu là trình duyệt Firefox 1.5. Metasploit là một công cụ hack được sử dụng rộng rãi.

Trước đó, vào hôm 6/12 năm ngoái, một hacker có tên Georgi Guninski đã phát hiện ra lỗ hổng bên trong phần mềm của Mozilla. Theo Moore thì cách thức tấn công, các bước triển khai để khai thác lỗ hổng trên cũng do Guninski mô tả.

Mozilla đã phát hành bản khuyến cáo về lỗ hổng này vào thứ tư tuần trước, khi phát hành trình duyệt Firefox 1.5.0.1 (Trong này có bao gồm một miếng vá cho lỗ hổng). Theo bản khuyến cáo, lỗ hổng này thuộc mức nguy cơ trung bình, có khả năng phá hủy bộ nhớ trình duyệt và có thể bị lợi dụng để chạy một đoạn mã bất kỳ. Hacker sẽ có thể giành quyền kiểm soát hệ thống máy tính sử dụng trình duyệt Firefox 1.5 bằng cách lừa người dùng vào xem một trang web có chứa mã hiểm.

Lỗi của chủ quan

Hôm qua, một hacker khác là Aviv Raff lại lên tiếng chỉ trích Mozilla trên blog cá nhân vì tội đánh giá quá thấp lỗ hổng này. "Họ đã coi thường một lỗ hổng lẽ ra phải được xếp vào loại "Critical" - nguy hiểm".

Phó chủ tịch sản phẩm của Mozilla, ông Chris Beard nói rằng Mozilla không nhận được bất cứ thông tin gì về bất cứ trường hợp nào từng khai thác lỗ hổng nói trên, do đó, họ chỉ xếp lỗ hổng vào hạng trung bình. Tuy nhiên, đến thời điểm này, Mozilla đã đánh giá lại và gắn mác Critical cho nó, do có khả năng hacker chạy mã hiểm từ xa.

Phiên bản duy nhất bị ảnh hưởng bởi lỗi này là Firefox 1.5, còn các phiên bản cũ hơn có vẻ như không vướng phải lỗi này.

Thiên Ý