Mozilla bít lỗi nguy hiểm trong Firefox

Hôm qua (5/3) Mozilla chính thức phát hành bản nâng cấp Firefox 3.0 lên phiên bản 3.0.7 để khắc phục một loạt các lỗi bảo mật mới phát sinh trong phiên bản trước đây.

Có tổng cộng năm lỗi bảo mật được khắc phục trong đợt này. Trong số này có 3 lỗi được xếp vào mức “cực kỳ nguy hiểm” (critical) – chủ yếu là các lỗi liên quan đến các trục trặc trong bộ nhớ, PNG Library... Mỗi lỗi ở mức “nguy hiểm” (high) và một lỗi ở mức thấp (low).

Mozilla cho biết đáng chú ý nhất trong số những lỗi được khắc phục đợt này là lỗi liên quan đến động cơ trình duyệt và động cơ Javascript – lỗi MFSA 2009-07. Thực chất những lỗi này chỉ ảnh hưởng đến sự ổn định trong sự vận hành của trình duyệt đồng thời đôi khi có thể khiến trình duyệt bị “chết đứng” hoàn toàn.

Song Mozilla khẳng định đã phát hiện thấy dấu hiệu chứng minh có lỗi tràn bộ nhớ đệm xảy ra trong một số tình huống trình duyệt “chết đứng”. Đây chính là một trong những điều kiện cần thiết giúp tin tặc có thể điều khiển thực thi mã nhị phân trên PC người dùng.

Đến nay Mozilla cũng chưa khẳng định được khả năng lỗi này có thể bị tin tặc khai thác đến đâu nhưng cũng dự đoán rất có thể tin tặc sẽ nhắm mục tiêu tấn công thẳng vào động cơ trình duyệt để tạo ra sự cố tràn bộ nhớ đệm – ví dụ sử dụng một bức ảnh có kích thước rất lờn – hơn là nhắm đến động cơ Javascript.

Lỗi PNG Library – lỗi MFSA 2009-10 – cũng có khả năng bị tin tặc khai thác bằng những website độc hại để khiến Firefox của người dùng treo cứng do bị tràn bộ nhớ đệm tạo điều kiện cho chúng có thể thực thi được mã nhị phân trên PC của người dùng.

Lỗi cực kỳ nguy hiểm còn lại – lỗi MFSA 2009-08 – cũng có thể bị lợi dụng để tạo ra sự cố tràn bộ nhớ đệm giúp tin tặc thực hiện mã nhị phân trên nền Firefox. Lỗi phát sinh trong quá trình thu thập rác bộ nhớ. Do quy trình quản lý bộ nhớ mắc lỗi nên trình duyệt ngay lập tức bị treo cứng do tràn bộ nhớ đệm.

Hai lỗi bảo mật còn lại được khắc phục gồm lỗi có thể bị lợi dụng để ăn cắp dữ liệu người dùng thông qua RDFXMLDataSource (lỗi MFSA 2009-09) và lỗi giả mạo đường dẫn URL sử dụng những ký tự có thể nhận biết bằng mắt thường (lỗi MFSA 2009-11).

Bên cạnh các lỗi bảo mật Mozilla cũng cho khắc phục thêm 3 lỗi khác liên quan đến sự ổn định của Firefox trong quá trình vận hành như lỗi trình đơn “File” bị vô hiệu hóa hoàn toàn khi sử dụng tính năng “Print”, lỗi cookies tự dưng biến mất hay lỗi liên quan đến Flash trên các PC chạy hệ điều hành Mac OS …

Người dùng có thể tải về phiên bản mới nhất Firefox tại đây.