Mozilla vá Firefox 3.0 và 3.5

Bản cập nhật 3.0.13 vá hai lỗ hổng cho phiên bản trình duyêt 3.0 (Mozilla sẽ loại bỏ phiên bản trình duyệt này khỏi danh sách hỗ trợ vào tháng 1 năm tới), trong khi đó bản Firefox 3.5.2 vá một lỗ hổng khác trên Firefox 3.5.

Những lỗ hổng được vá bởi bản Firefox 3.0.13 do Dan Kaminsky và một cố vấn bảo mật (tự xưng là Moxie Marlinspike) thông báo vào hôm thứ 5 tuần trước tại hội thảo Black Hat được tổ chức tại Las Vegas.

Kaminsky là người đã tìm ra lỗ hổng của DNS (Máy chủ tên miền) vào mùa hè năm ngoái, và Marlinspike tập trung nghiên cứu phương pháp hacker sử dụng để khai thác những lỗ hổng trong Secure Socket Layer (giao thức mã hóa mặc định của website) của các chương trình trình duyệt

Tin tặc có thể sử dụng những lỗ hổng này để chiếm quyền một phiên làm việc của website và đánh cắp những mật khẩu quan trọng hay lừa người dùng Firefox chấp nhận một bản cập nhật phần mềm ảo có chứa malware.

Riêng Firefox 3.5 đã được “miễn dịch” với phương thức tấn công này vì các nhà phát triển của Mozilla đã sử dụng phiên bản Network Security Services (một nhóm thư viện code được sử dụng để đưa Secure Socket Layer vào trong trình duyệt) mới và bảo mật hơn.

Đó là lí do tại sao Firefox 3.5.2 chỉ vá một lỗ hổng phát sinh khi Firefox 3.5 xử lý các phản hồi từ proxy SOCKS5. Mozilla đánh giá mức độ nguy hiểm của lỗ hổng này ở mức độ thấp – “low” vì không có bằng chứng cho thấy bộ nhớ bị hư hại, và nó không cho phép hacker cài mã độc vào PC.

Lỗ hổng SOCKS5 đã được Firefox 3.0.12 vá vào hôm 21 tháng bảy. Tuy nhiên, có thể Mozilla đã quên vá lỗ hổng này trong bản cập nhật Firefox 3.5.1 được tung ra vào hôm 16 tháng 7 để vá lỗ hổng zero-day, hoặc thông tin về lỗ hổng SOCKS5 đã được thông báo cho Mozilla giữa khoảng thời gian họ tung ra bản cập nhật 3.5.1 và 3.0.12.

Mozilla đã ngăn truy cập vào lỗ hổng SOCKS5 trong cơ sở dữ liệu theo dõi lỗi và thay đổi Bugzilla, vì vậy rất khó khẳng định rằng lỗ hổng này đẵ được vá hay chưa. Hơn nữa, số CVE (Common Vulnerabilities & Exposures) được phân bổ cho lỗ hổng này đã được kích hoạt hôm 15 tháng bảy cũng cho thấy giải thích trên có vẻ hợp lý.

Tối qua, Mozilla đã không trả lời rõ ràng câu hỏi có phải họ quên không vá lỗ hổng trong SOCKS5 hay không.

Theo công ty Net Application, chỉ tính riêng tháng bảy Firefox đã chiếm 22,5 % tổng số trình duyệt được sử dụng trên toàn thế giới. Trong số 4 người sử dụng Firefox, có 3 người hiện vẫn sử dụng phiên bản 3.x thay vì phiên bản 3.5 mới.

Những máy Windows, Mac OS X và Linux có thể tải về bản cập nhật Firefox 3.5.2 và 3.0.13, ngoài ra người dùng cũng có thể chạy trình cập nhật của Firefox hoặc đợi nhắc nhở cập nhật tự động trong 48 giờ tới.