Mozilla phát hành miếng vá lỗi cho Firefox

Mozilla dự định tung ra miếng vá cho trình duyệt Cáo lửa vào tuần tới nhằm bịt lại một lỗ hổng bảo mật đã "bám trụ" rất lâu bên trong phần mềm này.

Bản update 2.0.0.10 hiện vẫn đang được kiểm tra lần chót và "sẽ được phát hành tới công chúng sau ngày Lễ Tạ ơn tại Mỹ", đại diện Mozilla cho biết. "Chúng tôi muốn chờ thêm vài ngày để đảm bảo rằng bản update thật hoàn thiện, sạch lỗi".

Hiện tại, Mozilla đang kêu gọi cộng đồng Firefox vào kiểm tra và chạy thử trình duyệt vào ngày thứ 6 tới - ngày "Kiểm định chất lượng".

Lỗ hổng bảo mật nói trên được phát hiện lần đầu từ hồi tháng 2, nhưng mãi đến đầu tháng này, nó mới thu hút được sự chú ý rộng rãi khi nhà nghiên cứu Petko Petkov công bố trên blog cá nhân. Ông này chỉ rõ cách khai thác lỗ hổng để tấn công scripting chéo site chống lại Firefox.

Nguồn: Mozilla
"Lỗ hổng này xuất phát từ thực tế là Firefox kiểm tra không chuẩn các file nén sử dụng định dạng .jar (Java Archive). Kẻ tấn công có thể chèn mã độc vào trong tài liệu .jar và lừa nạn nhân kích hoạt".

Vài ngày sau khi Petkov công bố phát hiện của mình, một chuyên gia khác có nickname Bedford đã trình diễn cách thức khai thác lỗ hổng này để tấn công người dùng Google, truy cập vào tài khoản Gmail của nạn nhân và sục sạo trong lịch sử tìm kiếm trên mọi website Google.

"Kẻ tấn công có thể tới bất kỳ đâu trong Google, làm bất cứ điều gì hắn muốn với profile của bạn", Petkov cảnh báo.

Tuy cả lỗ hổng của Petkov lẫn Bedford đều liên quan đến cách Firefox xử lý file .jar, song Mozilla vẫn coi đây là hai vấn đề riêng biệt và sẽ vá chúng trong miếng vá tuần tới.

Trọng Cầm

Thứ Năm, 22/11/2007 14:23
31 👨 46
0 Bình luận
Sắp xếp theo
    ❖ Tổng hợp