Hai
hacker Spiegelmock và Wbeelsoi tuyên bố đã phát hiện ra một lỗi bảo mật
Javascript nghiêm trọng trong trình duyệt mã nguồn mở Firefox.
Trong
một bản thuyết trình trước Hội nghị ToorCon Hacker, Mischa Spiegelmock
và Andrew Wbeelsoi khẳng định một kẻ tấn công ác ý hoàn toàn có thể
chiếm quyền điều khiển hệ thống dùng trình duyệt Firefox bị mắc lỗi chỉ
bằng cách tạo ra và lừa người dùng truy cập vào một trang web có chứa
một số mã Javascript độc hại.
Các phiên bản trình duyệt Firefox chạy trên nền tảng Windows, Mac OS X và Linux đều bị mắc lỗi bảo mật này.
Nguyên nhân gây ra lỗi bảo mật Javascript trong trình duyệt
Firefox chính là từ cách ứng dụng ngôn ngữ client-script dành riêng cho
web đã có 10 năm tuổi này. “Hoàn toàn có thể sử dụng hàng loạt thủ
thuật để tạo nên một sự cố tràn bộ nhớ đệm trong trình duyệt để lợi
dụng và khai thác lỗi. Hay nói một cách khác là Javascript đã được ứng
dụng quá cẩu thả trong Firefox. Rất khó có thể khắc phục được tận gốc
rễ cái lỗi bảo mật này,” Spiegelmock nói.
Window Snyder – Giám đốc phụ trách bảo mật của Mozilla – sau khi
xem xong bài trình diễn của 2 hacker Spiegelmock và Wbeelsoi cũng phải
thừa nhận sự tồn tại của lỗi bảo mật Javascript trong Firefox. “Những
gì mà họ đưa ra trình bày ngày hôm nay vẫn chỉ là một hình thức tấn
công đã được biết đến nhưng nó lại được thể hiện dưới một hình thức
hoàn toàn khác. Chúng tôi sẽ tiếp tục nghiên cứu thêm vấn đề này”.
Tuy nhiên, Snyder lại không hài lòng với việc 2 hacker
Spiegelmock và Wbeelsoi tiết lộ chi tiết và một số phần quan trọng mã
khai thác lỗi bảo mật Javascript trong bản trình bày của họ. “Điều này
làm dấy lên lo ngại về việc những tin tặc ác ý có thể đã có đầy đủ
thông tin để tạo ra các mã độc hại và tấn công người dùng.”
“Tuy nhiên, có một điều đáng mừng là Spiegelmock và Wbeelsoi
cũng đã cung cấp cho chúng tôi đầy đủ thông tin để có thể khắc phục
được lỗi bảo mật Javascript. Việc khắc phục lỗi bảo mật này chắc chắc
sẽ là một điều không đơn giản vì nó liên quan trực tiếp đến cách
Firefox xử lý các mã Javascript. Nếu đó chỉ là một lỗi trong máy ảo
Javascript thì việc khắc phục sẽ trở nên dễ dàng hơn rất nhiều”.
Hai hacker Spiegelmock và Wbeelsoi còn tuyên bố hiện họ đang có
thông tin chi tiết về 30 lỗi bảo mật khác trong trình duyệt Firefox.
Tuy nhiên, họ tuyên bố là sẽ vẫn giữ bí mật về những thông tin này.
“Internet Explorer không phải là một trình duyệt web an toàn,
giờ đây Firefox cũng đang lâm vào tình huống tương tự,” Spiegelmock nói.
Theo Hoàng Dũng (Cnet, VnMedia)
(Theo NLĐ)