“Theo chân” đối thủ Google, hôm thứ Ba 1/3/2011, Mozilla đã sửa 11 lỗi bảo mật trong trình duyệt Firefox của mình trước khi cuộc thi hack máy tính Pwn2Own khai mạc vào tuần tới.
>>> Mozilla sẵn sàng khởi động Firefox 5
9/11 lỗ hổng được đánh giá là "nghiêm trọng" (nghĩa là tin tặc có thể sử dụng những lỗ hổng này để làm hại máy tính hay làm lây nhiễm malware). Trong 2 lỗi còn lại, 1 được gắn nhãn "cao" và lỗi kia được dán nhãn "vừa phải".
Các bản cập nhật lần này đưa trình duyệt nguồn mở Firefox lên các phiên bản 3.6.14 và 3.5.17. Đây là những bản cập nhật đầu tiên kể từ tháng 12/2010 - một khoảng thời gian dài hơn bình thường giữa 2 lần vá lỗi kế nhau của Mozilla. Một phần lý do là các bản cập nhật này đã bị trì hoãn. Ban đầu, dự kiến chúng sẽ được phát hành vào ngày 14/2/2011, nhưng sau đó bị hoãn khi các nhà phát triển Mozilla điều tra lỗi ảnh hưởng tới một số người sử dụng.
Các bản vá lỗi trong lần cập nhật này khắc phục 3 lỗ hổng JavaScript, 2 lỗi trong engine trình duyệt của Firefox, 1 lỗi trong engine chạy định dạng JPEG, có thể bị khai thác bằng cách gửi hình ảnh độc hại cho người dùng, và 1 lỗi CSRF (cross-site request forgery - giả mạo yêu cầu liên trang).
Mozilla cho biết, một nhà nghiên cứu bảo mật của Adobe đã thông báo về lỗ hổng CSRF. Theo thông tin đăng trên một mailing-list bảo mật hồi tháng 2/2011, lỗi CSRF có thể bị khai thác trong một số trình duyệt - Firefox, Safari và Chrome - nhờ sử dụng một file Flash dị thường.
Người dùng có thể cập nhật lên Firefox 3.6.14 bằng cách tải về phiên bản mới hoặc bằng cách chọn "Check for Updates" từ menu Help trên trình duyệt. Người dùng Firefox 3.5 có thể tải phiên bản 3.5.17 bằng công cụ cập nhật.
Các bản cập nhật bảo mật đến với người sử dụng 8 ngày trước khi cuộc thi hack máy tính hàng năm Pwn2Own được tổ chức tại hội nghị bảo mật CanSecWest ở Vancouver, British Columbia, Canada (Tham khảo thông tin về cuộc thi năm ngoái).