Mozilla bít lỗi nguy hiểm trong Firefox 2

Ngày 26/3, Mozilla tiến hành nâng cấp Firefox 2 lên phiên bản 2.0.0.13 nhằm khắc phục 10 lỗi bảo mật nguy hiểm trong phiên bản trình duyệt này. Có tới hơn một nửa số lỗi được đánh giá vào mức “cực kỳ nguy hiểm”.

Trong số các lỗi được xếp vào mức “nguy hiểm” có hai lỗi có thể bị lợi dụng để vô hiệu hoá trình duyệt hoặc động cơ vận hành Javascript của trình duyệt.

“Trong một số trường hợp trình duyệt bị treo cứng chúng tôi phát hiện thay hiện tượng tràn bộ nhớ đệm. Đây là điều kiện cần thiết giúp tin tặc có thể đoạt được quyền thực thi mã độc trên hệ thống,” Mozilla cảnh báo.

Một số lỗi nguy hiểm khác được khắc phục gồm lỗi rò rỉ thông tin cá nhân người dùng, lỗi XSS (cross-site scripting)…

Tuy nhiên, bản sửa lỗi được các chuyên gia bảo mật chú ý nhất lần này là bản sửa lỗi LiveConnect cho Firefox. Đây tính tính năng cho phép Java Applet có thể gọi một website nhúng Javascript hoặc cho phép Javascript tiếp cận tới Java Runtime Library.

Lỗi LiveConnect có thể bị tin tặc lợi dụng để cho phép Javascirpt chạy được ở cấp độ ưu tiên cao hơn hoặc khai thác để đoạt quyền được thực thi mã độc trên PC của người dùng.

Ngoài ra Mozilla cũng khắc phục hai lỗi bảo mật khác có thể bị tin tặc lợi dụng để tấn công lừa đảo người dùng. Lỗi thứ nhất nằm trong XML User Interface Language (XUL). Lỗi này có thể bị lợi dụng để bung ra một cửa sổ pop-up chứa đường dẫn bất kỳ theo ý của tin tặc, ví dụ một cửa sổ đăng nhập website… Lỗi thứ hai thuộc về HTTP Referrers.

Người dùng được khuyến cáo nên tải về cài đặt các bản sửa lỗi càng sớm càng tốt.