Mã khai thác một lỗi bảo mật chết người trong trình duyệt Firefox có thể bị tin tặc lợi dụng để ăn cắp tài khoản Gmail lại vừa được tung lên mạng. Giới bảo mật khuyến cáo người dùng nên cẩn thận với những email đính kèm tệp tin ZIP không rõ nguồn gốc.
 
Thực chất nếu khai thác thành công lỗi bảo mật nói trên tin tặc có thể chiếm đoạt quyền truy cập đến bất kỳ tài khoản Google nào chứ không chỉ riêng tài khoản Gmail. Lỗi này đã được Gnucitizen.org phát hiện 10 ngày trước đây. Hiện Mozilla chưa phát hành bất kỳ bản vá để khắc phục lỗi này.
 
Lỗi nói trên bắt nguồn từ lỗi phát sinh trong quá trình xử lý thủ tục JAR của Firefox. Trong quá trình xử lý thủ tục JAR, Firefox bỏ qua bước chứng thực nội dung chứa trong tệp tin ZIP mà cho phép tệp tin được trực tiếp thực thi luôn.
 
Lợi dụng lỗi bảo mật này tin tặc đã cho nhúng mã khai thác trực tiếp vào trong một tệp tin ZIP được lưu trữ trên một máy chủ nào đó. Đường liên kết đến tệp tin sau đó sẽ được gửi đến cho người dùng qua email. Nếu người dùng nhắp chuột vào đường liên kết đó, Firefox sẽ được khởi động thực hiện thủ tục giải nén tệp tin. Đồng nghĩa mã khai thác sẽ được kích hoạt và người dùng sẽ bị mất thông tin.
 
Tuy nhiên, không chỉ có Google hay Gmail có thể bị tấn công thông qua lỗi Firefox nói trên mà bất kỳ ứng dụng thư điện tử trên web, ứng dụng chia sẻ tệp tin, ứng dụng web 2.0 … đều có thể bị tấn công.
 
Mặc dù Mozilla chưa cho khắc phục lỗi nhưng người dùng hoàn toàn có thể tự bảo vệ mình bằng cách cấu hình tường lửa chặn Windows Universal Resource Identifiers (URIs) có chứa thủ tục JAR hoặc tải về cài đặt NoScript Add-on để cấm Firefox cho chạy Javascript hoặc nội dung thực thi trực tiếp từ website.
 
Đồng thời người dùng chú ý nên thoát khỏi tài khoản Gmail hay Google ngay sau khi đã dùng xong.

Hoàng Dũng - (PC World)

(Theo VnMedia)