Mozilla vá 10 lỗ hổng trong Firefox 3.5.6

Hôm qua Mozilla đã vá 10 lỗ hổng, trong đó có đến 5 lỗi được đánh giá là critical, xuất hiện trong một số công cụ JavaScript và phản hồi; thư viện video và đa phương tiện; và một số thành phần khác của ứng dụng trình duyệt Firefox.

Phiên bản Firefox 3.5.6, lần đầu tiên được vá kể từ cuối tháng 10 đến này, đã phải vá 5 lỗ hổng Mozilla đánh giá là critical (mức nguy hiểm cao nhất), một lỗ hổng khác được đánh giá ở mức high (mức dưới critical), và ba lỗ hổng được đánh giá là moderate (trung bình) và lỗ hổng còn lại là low (mức thấp nhất trên hệ thống đánh giá gồm 4 mức của Mozilla). 5 lỗ hổng critical nằm trong những công cụ JavaScript và phản hồi, và trong các thư viện video và đa phương tiện Libtheora và Liboggplay.

Trong bản chỉ dẫn chỉ rõ những lỗ hổng trong công cụ JavaScript và phản hồi, Mozilla nói “Một trong số những lố hổng này cho thấy bằng chứng bộ nhớ bị lỗi trong một số trường hợp nhất định và chúng tôi cho rằng những lỗ hổng này có thể dễ dàng bị khác để chạy mã nhị phân.”

3 trong số 4 lỗ hổng được nhắc đến trong bản chỉ dẫn bảo mật MFSA-2009-065 gây sập ứng dụng, trong khi đó lỗ hổng còn lại tác động tới công cụ JavaScript TraceMonkey được giới thiệu trong bản Firefox 3.5. Mozilla khuyên người dùng nên tắt bỏ JavaScript trong Firefox trong trường hợp công ty này không thể vá Firefox ngay lập tức để tự bảo vệ.

Bản Firefox 3.0, Mozilla sẽ ngừng hỗ trợ bảo mật trong tháng tới, cũng được cập nhật vào hôm thứ ba khi Mozilla phát hành bản 3.0.16. Phiên bản trước đó, Firefox 3.0.15, xuất hiện 7 lỗ hổng, trong đó có 2 lỗi được đánh giá là critical.

Sự khác biệt giữa số lượng bản vá của hai phiên bản là do một số lỗ hổng chỉ tác động tới phiên bản mới hơn – Firefox 3.5, bao gồm 2 lỗ hổng critical trong những thư viện mã, và hai trong số những lỗ hổng xuất hiện trong các công cụ.

Các bản cập nhật hôm thứ 3 được tung ra chỉ vài ngày trước khi Mozilla phát hành phiên bản thử nghiệm 3 của Firefox 3.6, một bản cập nhật nhỏ đã được lên kế hoạch phát hành vào cuối năm nay, tuy nhiên rất có thể đến năm 2010 phiên bản này mới đến được với người dùng.

Trong thực tế, Mozilla đã tuyên bố rằng có thể vào thứ hai tới họ sẽ phát hành bản Beta 5 của Firefox 3.6. Những biên bản của cuộc họp hàng tuần nhấn mạnh “Bản Beta 5 hiện đang được QA thử nghiệm, dự kiến sẽ được phát hành vào thứ 5 hoặc chúng ta sẽ phát hành bản RC trước. Chúng ta đã gần hoàn thiện mã, và chỉ cần thêm 8 bản vá nữa, và một tiến trình hợp nhất TraceMonkey. Nếu chúng ta có thể hoàn thành phát triển sớm, QA sẽ loại bỏ phiên bản Beta 5, sau đó chúng ta sẽ phát hành phiên bản RC cho những người dùng đang sử dụng bản thử nghiệm ngay khi có thể.”

Lần cuối cùng Mozilla cập nhật Firefox 3.6 cách đây đã 3 tuần khi phát hành bản Firefox 3.6 Beta 4.

Theo công ty nghiên cứu Web Net Applications, Firefox chiếm khoảng 25% thị phần trình duyệt trong tháng 11. Tuy nhiên, trong tuần vừa qua, con số này đã giảm nhẹ khi người dùng chuyển sang sử dụng ứng dụng Chrome khi Google phát hành bản thử nghiệm của ứng dụng trình duyệt này cho Mac và Linux vào ngày 8 tháng 12 vừa qua.

Hiện nay, người dùng có thể tải phiên bản Firefox 3.5.6 và 3.0.16 dành cho Windows, Mac OS X và Linux từ trang Web của Mozilla. Những người dùng đang sử dụng Firefox có thể sử dụng các công cụ cập nhật tích hợp hoặc đợi thông báo cập nhật tự động xuất hiện.