Firefox ngày càng mất an toàn

Hai hacker Spiegelmock và Wbeelsoi tuyên bố đã phát hiện ra một lỗi bảo mật Javascript nghiêm trọng trong trình duyệt mã nguồn mở Firefox.

Trong một bản thuyết trình trước Hội nghị ToorCon Hacker, Mischa Spiegelmock và Andrew Wbeelsoi khẳng định một kẻ tấn công ác ý hoàn toàn có thể chiếm quyền điều khiển hệ thống dùng trình duyệt Firefox bị mắc lỗi chỉ bằng cách tạo ra và lừa người dùng truy cập vào một trang web có chứa một số mã Javascript độc hại.

Các phiên bản trình duyệt Firefox chạy trên nền tảng Windows, Mac OS X và Linux đều bị mắc lỗi bảo mật này.

Nguyên nhân gây ra lỗi bảo mật Javascript trong trình duyệt Firefox chính là từ cách ứng dụng ngôn ngữ client-script dành riêng cho web đã có 10 năm tuổi này. “Hoàn toàn có thể sử dụng hàng loạt thủ thuật để tạo nên một sự cố tràn bộ nhớ đệm trong trình duyệt để lợi dụng và khai thác lỗi. Hay nói một cách khác là Javascript đã được ứng dụng quá cẩu thả trong Firefox. Rất khó có thể khắc phục được tận gốc rễ cái lỗi bảo mật này,” Spiegelmock nói.

Window Snyder – Giám đốc phụ trách bảo mật của Mozilla – sau khi xem xong bài trình diễn của 2 hacker Spiegelmock và Wbeelsoi cũng phải thừa nhận sự tồn tại của lỗi bảo mật Javascript trong Firefox. “Những gì mà họ đưa ra trình bày ngày hôm nay vẫn chỉ là một hình thức tấn công đã được biết đến nhưng nó lại được thể hiện dưới một hình thức hoàn toàn khác. Chúng tôi sẽ tiếp tục nghiên cứu thêm vấn đề này”.

Tuy nhiên, Snyder lại không hài lòng với việc 2 hacker Spiegelmock và Wbeelsoi tiết lộ chi tiết và một số phần quan trọng mã khai thác lỗi bảo mật Javascript trong bản trình bày của họ. “Điều này làm dấy lên lo ngại về việc những tin tặc ác ý có thể đã có đầy đủ thông tin để tạo ra các mã độc hại và tấn công người dùng.”

“Tuy nhiên, có một điều đáng mừng là Spiegelmock và Wbeelsoi cũng đã cung cấp cho chúng tôi đầy đủ thông tin để có thể khắc phục được lỗi bảo mật Javascript. Việc khắc phục lỗi bảo mật này chắc chắc sẽ là một điều không đơn giản vì nó liên quan trực tiếp đến cách Firefox xử lý các mã Javascript. Nếu đó chỉ là một lỗi trong máy ảo Javascript thì việc khắc phục sẽ trở nên dễ dàng hơn rất nhiều”.

Hai hacker Spiegelmock và Wbeelsoi còn tuyên bố hiện họ đang có thông tin chi tiết về 30 lỗi bảo mật khác trong trình duyệt Firefox. Tuy nhiên, họ tuyên bố là sẽ vẫn giữ bí mật về những thông tin này.

“Internet Explorer không phải là một trình duyệt web an toàn, giờ đây Firefox cũng đang lâm vào tình huống tương tự,” Spiegelmock nói.

Hoàng Dũng