Mozilla đã cho nâng cấp Firefox lên phiên bản mới để bít một loạt các lỗ hổng bảo mật mới được phát hiện trong các phiên bản trước đây.. Song trong số 9 lỗi của Firefox 2 thì có 7 lỗi tư
Trang 1Mozilla bít lỗ hổng cho Firefox
Trang 2Mozilla đã cho nâng cấp Firefox lên phiên bản mới để bít một loạt các lỗ hổng bảo mật mới được phát hiện trong các phiên bản trước đây.
Cụ thể Firefox 3 lần này được nâng cấp lên phiên bản 3.0.5 để khắc phục 8
lỗi bảo mật mới được phát hiện trong phiên bản 3.0.4 Cùng lúc đó Firefox
2.0.0.18 cũng đón nhận 9 bản vá để được nâng cấp lên phiên bản 2.0.0.19
Song trong số 9 lỗi của Firefox 2 thì có 7 lỗi tương tự Firefox 3 nên có thể
nói đợt này chỉ có tổng cộng 10 lỗi bảo mật được Mozilla cho khắc phục
Trong tổng số 10 lỗi thì có tới 4 lỗi được Mozilla xếp vào mức “cực kỳ nguy
hiểm” (critical) Một lỗi ở mức “cao” (hight) Hai lỗi ở mức “trung bình”
(moderate) và số còn lại được xếp ở mức “thấp” (low)
Có tới 3 trong số 4 lỗi “critical” được khắc phục đợt này là lỗi XSS – hay còn
gọi là lỗi tấn công liên trang (cross-site scripting) Nếu khai thác thành công
những lỗi này tin tặc có thể tấn công nhiều trang web cùng một lúc
Được đánh giá là nguy hiểm nhất trong số
Trang 3những lỗi “critical” là lỗi XSS phát sinh trong tính năng SessionStore – hay
còn gọi là tính năng khôi phục lại phiên làm việc gần đây nhất của Firefox
Nếu khai thác thành công lỗi này tin tặc hoàn toàn có thể tuồn những nội
dung độc hại hoặc đoạt được quyền đầy đủ thực thi mã Javscript trên PC của người dùng
Trong khi đó lỗi XSS thuộc hàng “critical” cuối cùng lại chỉ ảnh hưởng duy nhất đến các phiên bản Firefox 2 chứ không hề đe dọa Firefox 3 Lỗi này bắt
nguồn từ tính năng xem trước luồng tin RSS (feed preview) Nếu khai thác
thành công lỗi này tin tặc có thể đoạt được quyền thực thi mã Javascript ở cấp
độ ưu tiên “chrome”
Lỗi “critical” cuối cùng lại là một lỗi tràn bộ nhớ đệm phát sinh trong chính
động cơ trình duyệt (browser engine) được sử dụng không chỉ trong Firefox
mà còn ở một loạt các sản phẩm khác của Mozilla như ứng dụng gửi nhận thư
điện tử Thunderbird chẳng hạn Trong một số trường hợp nhất định tin tặc có thể lợi dụng hiện tượng tràn bộ nhớ đệm để khiến trình duyệt treo cứng hoàn
toàn hoặc thực thi mã độc trên PC người dùng
Trang 4Trong số những lỗi còn lại có lẽ đáng chú ý nhất là lỗi ăn cắp dữ liệu tên
miền thông qua việc lợi dụng mã (script) chuyển hướng thông điệp báo lỗi
Lỗi này được xếp vào mức “cao” (hight) Tin tặc có thể khai thác lỗi này để
ăn cắp thông tin về người dùng trên một website mà họ có tài khoản đăng nhập trên đó
Bên cạnh việc bít các lỗi bảo mật lần này Mozilla cũng tiến hành khắc phục
một số trực trặc liên quan đến khả năng vận hành cho Firefox 3, bổ sung
thêm ngôn ngữ hỗ trợ …
Bỏ quên lỗi Firefox 2
Ngay sau khi cho phát hành bản cập nhật 2.0.19 lãnh đạo Mozilla mới phát
hiện ra họ đã bỏ quên bản vá cho một lỗi khá nguy hiểm khác trong Firefox
2
Tuy nhiên chỉ có phiên bản Firefox 2 cho Windows là bị rơi vào tình trạng
này Nếu đầy đủ thì lẽ ra Firefox 2.0.0.19 phải có tới 10 bản sửa lỗi Trục trặc
không xảy ra với phiên bản Firefox cho Mac và Linux
Trang 5Lãnh đạo Mozilla – trong một bài viết trên website chính thức – khẳng định
bản nâng cấp Firefox 2.0.0.20 sẽ được bổ sung thêm bản sửa lỗi này Dự kiến
bản nâng cấp này sẽ được phát hành sớm nhất là trong ngày mai (19/12) và
chậm nhất là ngày thứ 2 tuần tới (22/12)
Cùng lúc đó lãnh đạo Mozilla cũng khẳng định lỗi này thực sự không nguy
hiểm và nguy cơ người dùng bị tấn công là không cao “Mozilla khẳng định
đây không phải là một lỗi bảo mật nguy hiểm và hiện vẫn chưa có bất kỳ mã khai thác nào được phát tán lên mạng Internet”
Bên cạnh đó Mozilla cũng khuyến khích người dùng nên nhanh chóng nâng
cấp lên sử dụng Firefox 3 bởi Mozilla chuẩn bị ngừng mọi hỗ trợ cho phiên
bản Firefox 2 Chính sách của Mozilla là chỉ duy trì hỗ trợ cho phiên bản
Firefox cũ trong vòng 6 tháng sau khi phiên bản mới ra mắt Firefox 3 chính
thức ra mắt hồi tháng 6 vừa qua
Người dùng có thể tải về phiên bản mới nhất Firefox 3 tại đây và Firefox 2 tại đây