Mozilla sửa lỗi "chết người" cho Firefox

Cuối tuần qua Mozilla đã phát hành bản cập nhật để bít hai lỗi bảo mật nguy hiểm trong Firefox. Trong đó có lỗi đã được sử dụng để tấn công trình duyệt này tại cuộc thi PWN2OWN.

Cũng theo thông lệ, mỗi lần phát hành bản cập nhật, Mozilla lại một lần nâng cấp Firefox lên phiên bản mới. Cụ thể lần này Firefox 3 được nâng cấp lên phiên bản 3.0.8.

Có thể nói lần này Firefox 3.0.8 được phát hành sớm hơn lịch trình của Mozilla đến vài ngày. Theo kế hoạch trước đây lẽ ra phải đến ngày 1/4 phiên bản này mới ra mắt. Song do các lỗi bảo mật được khắc phục lần này đều là những lỗi thuộc loại cực kỳ nguy hiểm nên Mozilla đã quyết định phải hành động sớm để bảo vệ người dùng.

Lỗi 5.000 USD

Có thể nói đây là lỗi đáng được chú ý nhất trong bản cập nhật lần này bởi đơn giản hiện đã có mã khai thác. Song tin vui là mã khai thác này hiện vẫn được giữ kín chưa hề bị phát tán rộng rãi trên mạng Internet.

Và sở dĩ lỗi này có tên “lỗi 5.000 USD” bởi đây là lỗi đã mang lại cho Nils – một sinh viên ngành khoa học máy tính người Đức – giải thưởng 5.000 USD từ cuộc thi POWN2OWN mới được tổ chức gần đây tại Vancouver (Canada). Không chỉ tấn công thành công Firefox mà sinh viên này còn “hạ gục” cả Safari và Internet Explorer 8.

Thông tin từ bản tin cảnh báo bảo mật của Mozilla cho biết lỗi trên đây bắt nguồn từ XUL Tree. Trong một số trường hợp nhất định tin tặc có thể lợi dụng lỗi này để thu thập thông tin về những đối tượng đang vận hành trên trình duyệt.

Mozilla khẳng định nếu khai thác thành công lỗi bảo mật này tin tặc hoàn toàn có thể khiến Firefox bị treo cứng hoàn toàn, tạo điều kiện cần thiết cho tin tặc có thể điều khiển thực thi mã nhị phân trên PC của người dùng.

Song lỗi này chỉ có tác dụng duy nhất với phiên bản Firefox 3.0 trở lên. Phiên bản Firefox 2.0 cùng với các ứng dụng khác có sử dụng chung động cơ trình duyệt như Thunderbird 2 không mắc lỗi này.

Để ngăn chặn khả năng tin tặc lợi dụng lỗi này để tấn công người dùng, Mozilla thông báo giới hạn truy cập đến thông tin chi tiết lỗi được cung cấp trên cơ sở dữ liệu lỗi Bugzilla. Chỉ những người được cấp phép mới có thể truy cập đến những thông tin này.

Lỗi nguy hiểm mới

Nếu so sánh với “lỗi 5.000 USD” thì có thể nói mức độ nguy hiểm của lỗi này còn hơn hẳn. Đơn giản bởi vì thông tin về lỗi này hiện đã được công bố rộng rãi thông qua website milw0rm.com từ hồi giữa tuần trước.

Chuyên gia nghiên cứu bảo mật Guido Landi – người đã phát hiện ra lỗi này – cho biết lỗi phát sinh trong XSL Stylesheet và xảy ra trong quá trình biến đổi XSL Tranformation. Nếu lỗi phát sinh trình duyệt sẽ bị treo cứng hoàn toàn.

Mozilla cảnh báo nếu khai thác thành công lỗi này tin tặc hoàn toàn có đủ khả năng từ xa điều khiển thực thi mã độc trên PC của người dùng.

Như vậy có thể nói Mozilla đã “đánh bại” hai đối thủ Microsoft và Apple trong việc khắc phục những lỗi bảo mật được công bố ngay tại cuộc thi PWN2OWN. Hiện cả Microsoft và Apple chưa hề công bố bất kỳ thông tin nào về kế hoạch cho khắc phục các lỗi này.

Có một điểm khác biệt so với các bản cập nhật bảo mật trước đây là lần này Mozilla không khắc phục một số lỗi liên quan đến độ ổn định của trình duyệt trong quá trình vận hành. Đây không phải là những lỗi bảo mật mà chỉ là những lỗi liên quan đến trải nghiệm sử dụng trình duyệt của người dùng.

Ví dụ, bản nâng cấp lên Firefox 3.0.7 có khắc phục một số lỗi giúp tăng độ ổn định của trình duyệt trong quá trình vận hành như lỗi cookies tự động biến mất sau một vài ngày hay lỗi trình đơn File bị tô xám hoàn toàn khi người dùng thực hiện lệnh Print….

Hiện người dùng có thể tải về phiên bản mới nhất Firefox 3.0.8 tại đây hoặc sử dụng tính năng tự động nâng cấp của trình duyệt – từ Help chọn Check for updates – rồi để Firefox tự động cập nhật nâng cấp phiên bản mới nhất.