Mozilla vừa phát hành một cập nhật bảo mật để vá lỗ hổng bảo mật nghiêm trọng cho phép hacker tấn công leo thang đặc quyền trên máy tính Windows. Lỗ hổng này nằm trong dịch vụ Mozilla Maintenance Service nên nếu khai thác thành công hacker có thể chiếm quyền admin của hệ thống.
Mozilla Maintenance Service là một dịch vụ tùy chọn của Firefox và Thunderbird giúp cập nhật ứng dụng có thể chạy trong nền. Nó cung cấp cho người dùng Firefox trải nghiệm cập nhật liền mạch, không cần phải nhấp vào tùy chọn "Yes" trong Windows User Account Control (UAC) trước khi cập nhật trình duyệt web hoặc ứng dụng email của họ.
Mozilla đã vá lỗ hổng leo thang đặc quyền được theo dõi dưới mã CVE-2022-22753 trong bản cập nhật Fifefox 97 vừa được phát hành.
Khi khai thác thành công CVE-2022-22753 trên các máy tính chưa được vá, hacker có thể chiếm quyền NT AUTHORITY\SYSTEM, quyền kiểm soát cao nhất trên hệ thống Windows.
"Lỗi Time-of-Check Time-of-Use tồn tại trong Mozilla Maintenance Service có thể bị lạm dụng để cấp cho người dùng quyền ghi vào một thư mục tùy ý. Điều này có thể được sử dụng để nâng quyền truy cập lên cấp SYSTEM", Mozilla chia sẻ. "Lỗi này chỉ ảnh hưởng tới Firefox trên Windows. Các hệ điều hành khác không bị ảnh hưởng".
Mozilla cũng cho biết thêm rằng Firefox 97 đã giải quyết nhiều lỗi an toàn bộ nhớ do cộng cồng và nhà phát triển Mozilla tìm thấy trong Firefox 96 và Firefox ESR 91.5.
Firefox 97 bổ sung một số tính năng, cải tiến mới
Bên cạnh vá lỗi, bản cập nhật mới của Firefox cũng mang tới một số tính năng và cải tiến mới. Đầu tiên chính là scrollbars kiểu mới trên Windows 11 và tiếp theo là cải tiến về việc tải font chữ hệ thống trên macOS giúp mở và chuyển tab mới trở nên nhanh hơn.