Sửa lỗi nguy hiểm cho Firefox

Hôm qua (16-7), Mozilla bất ngờ phát hành các bản cập nhật sửa hai lỗi bảo mật trong cả Firefox 2.0 và 3.0. Hai lỗi này đều được xếp vào mức "nguy hiểm" (critical).

Lỗi đầu tiên được Mozilla khắc phục lần này không phải là lỗi của riêng Firefox mà nó ảnh hưởng tổng hợp đến cả 3 loại trình duyệt Internet Explorer, Firefox và Safari.

Chuyên gia nghiên cứu bảo mật Billy Rios - người đã phát hiện lỗi trên - cho biết thực chất lỗi trên bắt nguồn từ trình duyệt Safari của Apple.

Được biết đến bằng cái tên "carpet bomb" (lỗi bom trải thảm), lỗi trong Safari có thể bị lợi dụng kết hợp với một số lỗi bảo mật khác trong Internet Explorer và Firefox để tấn công người dùng.

Trước đây giới bảo mật cho rằng lỗi trong Safari chỉ có thể được kết hợp với lỗi trên Internet Explorer. Tuy nhiên, nghiên cứu sâu hơn Rios mới phát hiện nó còn có thể được kết hợp với lỗi trong một số phiên bản trình duyệt khác. 

"Rios đã trình diễn cho chúng tôi thấy kỹ thuật kết hợp lỗi bảo mật trong trình duyệt Safari và Firefox để tấn công người dùng. Lỗi trong Safari đã được Apple cho khắc phục và lần này là đến lượt chúng tôi," Mozilla khẳng định trong bản tin cảnh báo bảo mật phát đi ngày hôm qua.

Firefox 3.0 có ít nguy cơ bị tấn công hơn Firefox 2.0 bởi trong phiên bản mới này Mozilla đã tiến hành áp dụng biện pháp hạn chế quyền được truy cập đến các tệp tin trên hệ thống của các đoạn mã (script) vận hành trên nền trình duyệt.

Lỗi thứ hai được sửa lần này là lỗi trong cấu trúc mảng dữ liệu CSSValue của Firefox. Nếu khai thác thành công, tin tặc có thể gây ra hiện tượng tràn bộ nhớ đệm khiến Firefox bị treo cứng hoàn toàn, tạo điều kiện thuận lợi cho phép chúng đoạt được quyền thực thi mã độc trên PC người dùng.

Lỗi này không chỉ ảnh hưởng đến Firefox mà cả ứng dụng email máy khách Thunderbird 2.0 của Mozilla, bởi ứng dụng này cũng sử dụng động cơ tái hiện web như Firefox. Tuy nhiên, lần này Mozilla không phát hành bản sửa lỗi cho Thunderbird mà dự kiến phải đến 23-7 mới phát hành.

Và theo thông lệ, các bản cập nhật bên cạnh việc sửa lỗi bảo mật cũng thực hiện luôn trách nhiệm nâng cấp Firefox lên phiên bản mới. Cụ thể, Firefox 2.0 giờ được nâng cấp lên phiên bản 2.0.16 và Firefox 3.0 lên phiên bản 3.0.1.

Người dùng Firefox có thể dùng tính năng tự động cập nhật của trình duyệt để cài đặt các bản sửa lỗi. Cụ thể, hãy truy cập vào menu Help và chọn "Check for Updates".

Hoặc có thể tải về các phiên bản mới nhất Firefox 2.0.16 tại đây và Firefox 3.0.1 tại đây.

Thứ Năm, 17/07/2008 14:41
31 👨 953