Firefox vừa phát hành bản cập nhật mới để vá lỗ hổng nghiêm trọng trong bản 58 – Quantum
Mozilla đã phát hành một bản cập nhật quan trọng cho trình duyệt Firefox của mình để vá một lỗ hổng nghiêm trọng có thể cho phép kẻ tấn công thực thi mã độc từ xa, trên máy tính chạy phiên bản trình duyệt bị ảnh hưởng.
Bản cập nhật mới chỉ xuất hiện một tuần sau khi công ty tung ra trình duyệt Firefox Quantum mới của mình (được biết đến như Firefox 58), với một số tính năng mới như cải thiện engine đồ họa và tối ưu hóa hiệu suất cũng như cập nhật bản vá cho 30 lỗ hổng.
Theo một khuyến cáo từ chuyên gia bảo mật ở Cisco, Firefox 58.0.1 giải quyết một lỗi “thực thi mã tùy ý” bắt nguồn từ một lỗi trong bộ lọc các đoạn mã HTML trong tài liệu đặc quyền chrome ( trình duyệt UI). Các hacker có thể khai thác lỗ hổng này (CVE-2018-5124) để chạy mã tùy ý trên máy tính của nạn nhân chỉ bằng cách lừa họ truy cập vào một liên kết hoặc mở một tập tin chứa mã độc bằng trình duyệt bị ảnh hưởng.
“Việc khai thác thành công có thể cho phép kẻ tấn công thực thi mã tùy ý với các đặc quyền của người dùng. Nếu người dùng có các đặc quyền nâng cao, kẻ tấn công có thể thỏa hiệp hoàn toàn hệ thống“, chuyên gia nói.
Điều này có thể cho phép kẻ tấn công cài đặt chương trình, tạo tài khoản mới với quyền người dùng đầy đủ và xem, thay đổi hoặc xóa dữ liệu. Tuy nhiên, nếu ứng dụng đã được cấu hình để có ít quyền người dùng hơn trên hệ thống, việc khai thác lỗ hổng này có thể ít ảnh hưởng đến người dùng hơn.
Các phiên bản trình duyệt web bị ảnh hưởng bao gồm Firefox 56 (.0, .0.1, .0.2), 57 (.0, .0.1, .0.2, .0.3, .0.4) và 58 (.0). Lỗ hổng đã được giải quyết trong Firefox 58.0.1, và bạn có thể tải xuống từ trang web chính thức của công ty.
Vấn đề được phát hiện bởi nhà phát triển Mozilla, Johann Hofmann, không ảnh hưởng đến trình duyệt Firefox dành cho Android và Firefox 52 ESR.
Người dùng được khuyến khích áp dụng các bản cập nhật phần mềm trước khi tin tặc khai thác vấn đề này và tránh mở các liên kết được cung cấp trong email hoặc tin nhắn nếu chúng xuất hiện từ các nguồn đáng ngờ hoặc không được công nhận. Các quản trị viên cũng nên sử dụng một tài khoản không có đặc quyền khi duyệt Internet và giám sát các hệ thống quan trọng.
(Theo TheHackerNews)