Cập nhật: 21/10/2010 |
Mozilla “bịt” 12 lỗ hổng trong Firefox |
|
Hôm thứ Ba 19/10/2010, Mozilla đã vá 12 lỗ hổng trong Firefox, bao gồm miếng vá thứ hai cho lỗi "cấy nhị phân" trong Windows mà các nhà nghiên cứu công bố năm ngoái.
|
|
Hai phần ba số lỗ hổng được vá lần này (8 lỗi) bị đánh giá là "nghiêm trọng" (những lỗi này có thể bị tin tặc sử dụng để chiếm quyền điều khiển hoặc lây nhiễm malware cho hệ thống). Trong số những lỗ hổng còn lại, 2 lỗi bị dán nhãn "nguy hiểm cao", 1 lỗi bị đánh giá là "vừa phải" và 1 lỗi "nguy hiểm thấp".
Trong số những lỗ hổng này có lỗi "cấy nhị phân" (binary planting) thứ 2 của Firefox. Một số người đã đặt tên cho vấn đề này là "tấn công nạp DLL" ("DLL load hijacking").
Bất kể được gọi thế nào, lỗ hổng tồn tại trong các ứng dụng Windows mà không gọi file DLL hoặc EXE bằng cách sử dụng tên đường dẫn đầy đủ. Thay vào đó, những ứng dụng Windows này chỉ dựa vào một mình tên file. Sau đó, lỗi này có thể bị tin tặc khai thác bằng cách đánh lừa chương trình vào việc nạp file độc hại với cùng tên như file EXE hoặc DLL được yêu cầu.
Mozilla đã vá phần DLL của lỗ hổng này hồi tháng 9/2010 khi họ cập nhật Firefox lên phiên bản 3.6.9. Lần vá lỗi này sửa nốt phần EXE của lỗ hổng.
Các bản vá lỗi khác trong đợt cập nhật hôm thứ Ba 19/10/2010 gồm: 3 lỗi bộ nhớ engine trình duyệt, 1 lỗ hổng XSS (cross-site scripting) và 1 vấn đề với các chứng nhận SSL (secure socket layer).
Mozilla cũng cập nhật cho trình duyệt cũ hơn Firefox 3.5.
Người dùng có thể cập nhật lên Firefox 3.6.11 bằng cách tải về phiên bản mới hoặc bằng cách chọn "Check for Updates" từ menu Help trên trình duyệt. Người dùng Firefox 3.5 có thể có được phiên bản 3.5.14 bằng cách sử dụng công cụ cập nhật tích hợp.
Theo www.pcworld.com.vn |