Cuối tuần qua Mozilla đã phát hành bản cập nhật để bít hai lỗi bảo mật nguy hiểm trong Firefox. Trong đó có lỗi đã được sử dụng để tấn công trình duyệt này tại cuộc thi PWN2OWN.
Cũng theo thông lệ, mỗi lần phát hành bản cập nhật, Mozilla lại một lần nâng cấp Firefox lên phiên bản mới. Cụ thể lần này Firefox 3 được nâng cấp lên phiên bản 3.0.8.
Có thể nói lần này Firefox 3.0.8 được phát hành sớm hơn lịch trình của Mozilla đến vài ngày. Theo kế hoạch trước đây lẽ ra phải đến ngày 1/4 phiên bản này mới ra mắt. Song do các lỗi bảo mật được khắc phục lần này đều là những lỗi thuộc loại cực kỳ nguy hiểm nên Mozilla đã quyết định phải hành động sớm để bảo vệ người dùng.
Lỗi 5.000 USD
Có thể nói đây là lỗi đáng được chú ý nhất trong bản cập nhật lần này bởi đơn giản hiện đã có mã khai thác. Song tin vui là mã khai thác này hiện vẫn được giữ kín chưa hề bị phát tán rộng rãi trên mạng Internet.
Và sở dĩ lỗi này có tên “lỗi 5.000 USD” bởi đây là lỗi đã mang lại cho Nils – một sinh viên ngành khoa học máy tính người Đức – giải thưởng 5.000 USD từ cuộc thi POWN2OWN mới được tổ chức gần đây tại Vancouver (Canada). Không chỉ tấn công thành công Firefox mà sinh viên này còn “hạ gục” cả Safari và Internet Explorer 8.
Thông tin từ bản tin cảnh báo bảo mật của Mozilla cho biết lỗi trên đây bắt nguồn từ XUL Tree. Trong một số trường hợp nhất định tin tặc có thể lợi dụng lỗi này để thu thập thông tin về những đối tượng đang vận hành trên trình duyệt.
Mozilla khẳng định nếu khai thác thành công lỗi bảo mật này tin tặc hoàn toàn có thể khiến Firefox bị treo cứng hoàn toàn, tạo điều kiện cần thiết cho tin tặc có thể điều khiển thực thi mã nhị phân trên PC của người dùng.
Song lỗi này chỉ có tác dụng duy nhất với phiên bản Firefox 3.0 trở lên. Phiên bản Firefox 2.0 cùng với các ứng dụng khác có sử dụng chung động cơ trình duyệt như Thunderbird 2 không mắc lỗi này.
Để ngăn chặn khả năng tin tặc lợi dụng lỗi này để tấn công người dùng, Mozilla thông báo giới hạn truy cập đến thông tin chi tiết lỗi được cung cấp trên cơ sở dữ liệu lỗi Bugzilla. Chỉ những người được cấp phép mới có thể truy cập đến những thông tin này.
Lỗi nguy hiểm mới
Nếu so sánh với “lỗi 5.000 USD” thì có thể nói mức độ nguy hiểm của lỗi này còn hơn hẳn. Đơn giản bởi vì thông tin về lỗi này hiện đã được công bố rộng rãi thông qua website milw0rm.com từ hồi giữa tuần trước.
Chuyên gia nghiên cứu bảo mật Guido Landi – người đã phát hiện ra lỗi này – cho biết lỗi phát sinh trong XSL Stylesheet và xảy ra trong quá trình biến đổi XSL Tranformation. Nếu lỗi phát sinh trình duyệt sẽ bị treo cứng hoàn toàn.
Mozilla cảnh báo nếu khai thác thành công lỗi này tin tặc hoàn toàn có đủ khả năng từ xa điều khiển thực thi mã độc trên PC của người dùng.
Như vậy có thể nói Mozilla đã “đánh bại” hai đối thủ Microsoft và Apple trong việc khắc phục những lỗi bảo mật được công bố ngay tại cuộc thi PWN2OWN. Hiện cả Microsoft và Apple chưa hề công bố bất kỳ thông tin nào về kế hoạch cho khắc phục các lỗi này.
Có một điểm khác biệt so với các bản cập nhật bảo mật trước đây là lần này Mozilla không khắc phục một số lỗi liên quan đến độ ổn định của trình duyệt trong quá trình vận hành. Đây không phải là những lỗi bảo mật mà chỉ là những lỗi liên quan đến trải nghiệm sử dụng trình duyệt của người dùng.
Ví dụ, bản nâng cấp lên Firefox 3.0.7 có khắc phục một số lỗi giúp tăng độ ổn định của trình duyệt trong quá trình vận hành như lỗi cookies tự động biến mất sau một vài ngày hay lỗi trình đơn File bị tô xám hoàn toàn khi người dùng thực hiện lệnh Print….
Hiện người dùng có thể tải về phiên bản mới nhất Firefox 3.0.8 tại đây hoặc sử dụng tính năng tự động nâng cấp của trình duyệt – từ Help chọn Check for updates – rồi để Firefox tự động cập nhật nâng cấp phiên bản mới nhất.
Mozilla sửa lỗi "chết người" cho Firefox
447
Bạn nên đọc
-
6 cách tận dụng thẻ SD full-size hiệu quả trong năm 2025
-
Apple tiếp tục dẫn đầu thị trường máy tính bảng toàn cầu
-
Instagram cán mốc 3 tỷ người dùng hàng tháng
-
Android bổ sung tính năng chia sẻ âm thanh 2 tai nghe, nâng cấp Gboard, Emoji Kitchen và Quick Share
-
Microsoft chính thức đóng cửa kho phim và truyền hình trực tuyến
-
Hàng loạt big tech bị điều tra vì lừa đảo trực tuyến gia tăng
Xác thực tài khoản!
Theo Nghị định 147/2024/ND-CP, bạn cần xác thực tài khoản trước khi sử dụng tính năng này. Chúng tôi sẽ gửi mã xác thực qua SMS hoặc Zalo tới số điện thoại mà bạn nhập dưới đây:
Số điện thoại chưa đúng định dạng!
0 Bình luận
Sắp xếp theo

Xóa Đăng nhập để Gửi

Cũ vẫn chất
-
Tình yêu là gì? 26 định nghĩa tình yêu chuẩn nhất
Hôm qua 12 -
Cách nhận 1 tháng sử dụng Discord Nitro miễn phí với Opera GX
Hôm qua -
Cách quay màn hình máy tính Win 10 nhanh chóng
Hôm qua -
Cách xóa bỏ logo trong file PDF rất đơn giản
Hôm qua 2 -
Nhà nghỉ gần đây, tìm khách sạn gần đây trên điện thoại nhanh nhất
Hôm qua -
Những câu chuyện về tình bạn hay và ý nghĩa
Hôm qua -
Lệnh DELETE trong SQL Server
Hôm qua -
Những lời chúc mừng đám cưới hay, hài hước và ý nghĩa
Hôm qua -
Cách chèn link liên kết trong văn bản Google Docs
Hôm qua 1 -
Thử thách nhìn emoji đoán ca dao, tục ngữ, mời tham gia
Hôm qua 13