Thông báo
Tin tức thời sự CNTT

Mozilla bít 6 lỗ hổng bảo mật Firefox

06-02-2009 10:48

 

 

Mozilla FireFox 3.0

 - Ngày 4-2, Mozilla đã cho nâng cấp Firefox lên phiên bản 3.0.6 để bít tổng cộng 6 lỗ hổng bảo mật nguy hiểm đồng thời khắc phục một số lỗi liên quan đến độ ổn định của trình duyệt trong quá trình vận hành.

Trong tổng số 6 lỗi bảo mật được sửa lần này chỉ có một lỗi được xếp vào mức “cực kỳ nguy hiểm” (critical). Số còn lại gồm hai lỗi ở mức “nguy hiểm” (high), một lỗi ở mức “trung bình” (moderate) và hai lỗi ở mức “thấp” (low).

Lỗi được xếp ở mức “cực kỳ nguy hiểm” phát sinh trong động cơ tái hiện trang web và Javascript. Mozilla cho biết tin tặc có thể khai thác lỗi bảo mật này để tạo ra lỗi tràn bộ nhớ đệm khiến trình duyệt treo cứng tạo điều kiện cho chúng có thể thực thi mã độc trên PC của người dùng Firefox.

Do phát sinh trong động cơ Javascript nên lỗi này không chỉ ảnh hưởng đến Firefox mà còn tác động đến cả các sản phẩm khác của Mozilla như ứng dụng gửi nhận email Thunderbird. Nguy cơ người dùng Thunderbird sẽ rất cao nếu như họ chấp nhận cho Javascript được phép thực thi khi duyệt email.

Hai lỗi bảo mật xếp ở mức “nguy hiểm” gồm lỗi tấn công XSS và lỗi ăn cắp dữ liệu trên PC người dùng Firefox thông qua SessionStore. Nếu khai thác thành công lỗi XSS tin tặc cũng có thể điều khiển thực thi Javascript trên PC của người dùng. Trong khi đó lỗi ăn cắp dữ liệu xảy ra trong quá trình Firefox khôi phục lại phiên làm việc trước đó khi trình duyệt bất ngờ bị treo cứng và vô hiệu hóa hoàn toàn.

Lỗi “trung bình” thực chất là một lỗi đã được Mozilla cho khắc phục từ năm ngoái. Song trong quá trình nghiên cứu Mozilla tiếp tục phát hiện thêm những khía cạnh nguy hiểm mới của lỗi này nên đã tiếp tục cho khắc phục.

Cụ thể đây là lỗi liên quan đến tệp tin “shortcut” liên kết Internet được lưu trên PC của người dùng Firefox. Nếu khai thác thành công lỗi này tin tặc hoàn toàn có thể đoạt được quyền truy cập và chèn mã Javascript độc hại vào tệp tin cấu hình của Firefox.

Tuy nhiên để có thể khai thác được lỗi này thì tin tặc buộc phải lừa được người dùng tải về và thực thi một tệp tin shortcut liên kết Internet. Chính phương pháp tấn công phức tạp và không dễ thành công nên dù nguy hiểm lỗi này vẫn chỉ được xếp ở mức “trung bình”.

Cũng như thông lệ bên cạnh việc cho khắc phục các lỗi bảo mật Mozilla lần này cũng khắc phục một số trục trặc liên quan đến khả năng vận hành của Firefox.

Ngoài ra nội dung bản tin cảnh báo bảo mật của Mozilla cũng cảnh báo người dùng Firefox 2 rằng hãng đã chấm dứt mọi hỗ trợ cho phiên bản trình duyệt này từ hồi giữa tháng 12-2008 và khuyến khích người dùng nên nhanh chóng nâng cấp lên Firefox 3.

Người dùng có thể tải về phiên bản mới nhất Firefox 3 tại đây.

T.DŨNG

(Theo TTO)

Các tin liên quan

©2006-2025
Khoa Công nghệ Thông tin - Trường Đại học Khoa học Tự nhiên, ĐHQG-HCM
227 Nguyễn Văn Cừ, Quận 5, TP.HCM, Việt Nam - (028) 38.354.266 - (028) 38.324.467
Được phát triển bởi SELab dựa trên  DotNetNuke® Portal -  Designed by FIT