Hôm qua (24-9), Mozilla phát hành bản vá để bít 11 lỗ hổng trong Firefox 3.0 cùng 14 lỗi bảo mật khác trong phiên bản Firefox 2.0.
Cụ thể, trong số 11 lỗ hổng bảo mật được khắc phục trong Firefox 3.0, có 6 lỗi được xếp vào mức “cực kỳ nguy hiểm” (critical), 4 lỗi xếp vào mức “cao” (high) và một lỗi ở mức “thấp” (low).
Những lỗi được đánh giá nguy hiểm nhất lần này là lỗi thuộc về động cơ tái hiện website, đồ họa hiển thị trên trang, Javascript… Hacker có thể lợi dụng để khiến Firefox 3.0 treo cứng hoặc đoạt quyền thực thi mã độc trên PC người dùng.
“Trong một số tình huống Firefox 3.0 treo cứng có dấu hiệu của lỗi tràn bộ nhớ đệm. Đây chính là điều kiện cần thiết giúp kẻ tấn công có thể từ xa thực thi mã độc trên PC sử dụng phần mềm mắc lỗi” - Mozilla khẳng định trong bản tin cảnh báo bảo mật.
Bên cạnh việc sửa lỗi, Mozilla còn khắc phục một số trục trặc khác liên quan đến tính ổn định của Firefox 3.0. Cụ thể, đó là lỗi Firefox 3.0 treo cứng khi người dùng tùy biến thanh công cụ, xóa đi hai nút bấm “Forward” và “Back”.
Đối với Firefox 2.0, bên cạnh việc khắc phục các lỗi bảo mật Mozilla còn cho sửa một số lỗi khác liên quan đến khả năng vận hành của phiên bản trình duyệt này. Tuy nhiên, vẫn có một lỗi Mozilla chỉ cho khắc phục trên Firefox 3.0 mà không phát hành bản sửa lỗi cho Firefox 2.0.
Đó là lỗi được xếp vào mức “thấp” (low) có tên gọi là “click-hijacking” (bắt cóc cú nhấp chuột của người dùng). Lỗi này lần đầu tiên được phát hiện trong Internet Explorer bởi một chuyên gia nghiên cứu có tên là Liu Die Yu. Năm 2003, Microsoft đã cho sửa lỗi này và năm ngoái một lần nữa phải tái phát hành bản sửa lỗi.
Paul Nickerson - chuyên gia phát triển của Mozilla, đồng thời là người phát hiện ra lỗi trên trong Firefox - khẳng định lỗi này có thể bị lợi dụng để buộc người dùng phải chấp nhận tải một tên tin nào đó về PC.
Hiện không rõ Mozilla sẽ còn phát hành bao nhiêu bản cập nhật cho Firefox 2.0 bởi đến tháng 12 tới hãng sẽ chính thức ngừng mọi hỗ trợ cho phiên bản trình duyệt này. Người dùng được khuyến cáo nên nhanh chóng nâng cấp lên phiên bản Firefox 3.0.
Theo thông lệ, mỗi lần phát hành bản cập nhật, Mozilla lại nâng cấp trình duyệt lên phiên bản mới. Lần này, Firefox 3.0 lên phiên bản 3.0.2 và Firefox 2.0 lên phiên bản 2.0.17. Người dùng có thể tải về các phiên bản này tại đây đối với Firefox 3.0 và tại đây với Firefox 2.0.
Cụ thể, trong số 11 lỗ hổng bảo mật được khắc phục trong Firefox 3.0, có 6 lỗi được xếp vào mức “cực kỳ nguy hiểm” (critical), 4 lỗi xếp vào mức “cao” (high) và một lỗi ở mức “thấp” (low).
Những lỗi được đánh giá nguy hiểm nhất lần này là lỗi thuộc về động cơ tái hiện website, đồ họa hiển thị trên trang, Javascript… Hacker có thể lợi dụng để khiến Firefox 3.0 treo cứng hoặc đoạt quyền thực thi mã độc trên PC người dùng.
“Trong một số tình huống Firefox 3.0 treo cứng có dấu hiệu của lỗi tràn bộ nhớ đệm. Đây chính là điều kiện cần thiết giúp kẻ tấn công có thể từ xa thực thi mã độc trên PC sử dụng phần mềm mắc lỗi” - Mozilla khẳng định trong bản tin cảnh báo bảo mật.
Bên cạnh việc sửa lỗi, Mozilla còn khắc phục một số trục trặc khác liên quan đến tính ổn định của Firefox 3.0. Cụ thể, đó là lỗi Firefox 3.0 treo cứng khi người dùng tùy biến thanh công cụ, xóa đi hai nút bấm “Forward” và “Back”.
Đối với Firefox 2.0, bên cạnh việc khắc phục các lỗi bảo mật Mozilla còn cho sửa một số lỗi khác liên quan đến khả năng vận hành của phiên bản trình duyệt này. Tuy nhiên, vẫn có một lỗi Mozilla chỉ cho khắc phục trên Firefox 3.0 mà không phát hành bản sửa lỗi cho Firefox 2.0.
Đó là lỗi được xếp vào mức “thấp” (low) có tên gọi là “click-hijacking” (bắt cóc cú nhấp chuột của người dùng). Lỗi này lần đầu tiên được phát hiện trong Internet Explorer bởi một chuyên gia nghiên cứu có tên là Liu Die Yu. Năm 2003, Microsoft đã cho sửa lỗi này và năm ngoái một lần nữa phải tái phát hành bản sửa lỗi.
Paul Nickerson - chuyên gia phát triển của Mozilla, đồng thời là người phát hiện ra lỗi trên trong Firefox - khẳng định lỗi này có thể bị lợi dụng để buộc người dùng phải chấp nhận tải một tên tin nào đó về PC.
Hiện không rõ Mozilla sẽ còn phát hành bao nhiêu bản cập nhật cho Firefox 2.0 bởi đến tháng 12 tới hãng sẽ chính thức ngừng mọi hỗ trợ cho phiên bản trình duyệt này. Người dùng được khuyến cáo nên nhanh chóng nâng cấp lên phiên bản Firefox 3.0.
Theo thông lệ, mỗi lần phát hành bản cập nhật, Mozilla lại nâng cấp trình duyệt lên phiên bản mới. Lần này, Firefox 3.0 lên phiên bản 3.0.2 và Firefox 2.0 lên phiên bản 2.0.17. Người dùng có thể tải về các phiên bản này tại đây đối với Firefox 3.0 và tại đây với Firefox 2.0.
