|
|
|
Firefox lại dính lỗi “chết người”
14-08-2007 13:40
|
Một
chuyên gia nghiên cứu bảo mật vừa phát hiện được một lỗ hổng bảo mật
trong Firefox có thể bị tin tặc lợi dụng để ăn cắp thông tin cá nhân
người dùng được lưu trữ sẵn trong các plugins hoặc thực thi các hàm
chức năng độc hại.
Nội dung một bài viết đăng tải trên
trang blog 0x000000 cho biết Firefox thường liệt kê mọi biến và đối
tượng khai báo trong một tệp tin Javascript cho phép gọi ra nhiều hàm
chức năng khác nhau. Tin tặc có thể từ xa quét nhận dạng các biến được
thiết lập trong Firefox plugins và sử dụng một script AJAX đơn giản để
“chôm” những thông tin đó.
Trong khi đó, tính năng cho phéo gọi
các hàm chức năng tích hợp trong các plugins lại mở cánh cửa cho phép
tin tặc tổ chức tấn công dịch vụ, tạo điều kiện cho chúng ăn cắp các dữ
liệu bí mật của người dùng.
“Người dùng có phải đối mặt với
nguy cơ bị tấn công hay không thì còn phải phụ thuộc vào loại plugins
mà họ đang sử dụng,” ông Charlie Miller - một chuyên gia phân tích bảo
mật của Independent Security Evaluators – cho biết. “Nhưng chỉ cần sử
dụng một lỗ hổng bảo mật tin tặc cũng có thể biết được rõ ràng có những
Firefox plugins nào đang được sử dụng trên hệ thống mục tiêu.”
Miller
đã không thể sử dụng mã khai thác của 0x000000 để tấn công vào lỗ hổng
bảo mật mới được công bố trong Firefox. Tuy nhiên, chuyên gia này cho
rằng đây là lỗi thuộc về mã khai thác chứ lỗi bảo mật là hoàn toàn có
thực.
Người phát ngôn của Mozilla cho biết hãng đang tiến hành điều tra thêm về lỗi bảo mật này.
Hoàng Dũng - (Register) (Theo VnMedia) |
|
|
|