Mozilla đã chính thức phát hành phiên bản trình duyệt Firefox mới nhất chứa các cập nhật bảo mật quan trọng. Firefox 67 mang tới các bản sửa lỗi cho 24 lỗ hổng bảo mật khác nhau, bao gồm nhiều lỗ hổng “mức độ nghiêm trọng cao”.
Các sửa lỗi bảo mật chính trên Firefox 67
Mới đây, Mozilla đã tung ra phiên bản trình duyệt mới nhất của Firefox. Bản phát hành trình duyệt Firefox 67 mang các bản sửa lỗi cho nhiều lỗi bảo mật quan trọng.
Theo tiết lộ trong bản tư vấn gần nhất của Mozilla, các nhà cung cấp đã sửa hai bộ lỗi an toàn bộ nhớ “sống còn” (critical memory safety bugs) và nhiều lỗi “mức độ nghiêm trọng cao” (high-severity flaws). Những lỗi “sống còn” được nhắc tới bao gồm CVE-2019-9814 từng gây ảnh hưởng đến trình duyệt Firefox và CVE-2019-9800 từng được tìm thấy trên cả trình duyệt Firefox và Firefox ESR. Mozilla cho rằng những kể tấn công đã từng khai thác các lỗi này để chạy các mã tùy ý.
Liên quan đến các lỗ hổng “mức độ nghiêm trọng cao”, Mozilla đã sửa tới 11 lỗ hổng khác nhau trong Firefox, đáng chú ý là lỗ hổng giống như Spectre (CVE-2019-9815) nhắm mục tiêu vào MacOS. Để bảo vệ thiết bị khỏi lỗ hổng này, người dùng Mac cần ngay lập tức nâng cấp lên phiên bản macOS 10.14.5.
Bên cạnh đó, Firefox 67 cũng vá 6 lỗi use-after-free (cho phép thực thi mã từ xa nếu người dùng tương tác với nội dung độc hại) và một số lỗi bảo mật khác.
Trong số này, CVE-2019-9818 (lỗi use-after-free trong server tạo sự cố) chỉ ảnh hưởng đến người dùng Windows, CVE-2019-11693 (lỗi tràn bộ đệm trong WebGL) chỉ ảnh hưởng đến hệ điều hành Linux, còn các lỗ hổng khác có thể ảnh hưởng đến tất cả người dùng trên mọi hệ điều hành sẵn có hiện nay.
Các bản vá bảo mật khác
Khác với các lỗi “sống còn” và “mức độ nghiêm trọng cao”, phiên bản Firefox mới đây cũng bao gồm các bản sửa cho 6 lỗi “mức độ nghiêm trọng trung bình” và 2 lỗi bảo mật “mức độ nghiêm trọng thấp”.
Trong số các lỗi “mức độ nghiêm trọng trung bình” thì CVE-2019-11694 (lỗi rò rỉ bộ nhớ chưa được khởi tạo) và CVE-2019-11700 (lỗi mở các tệp local đã biết thông qua res: protocol) chỉ ảnh hưởng đến người dùng Windows. Trong khi đó, lỗi “mức độ nghiêm trọng thấp” CVE-2019-11701 (webcal: giao thức xử lý mặc định tải trang web chứa lỗ hổng) sẽ chỉ hoạt động cho người dùng có tài khoản trên các trang web chứa lỗ hổng XSS. Những người dùng khác không bị ảnh hưởng bởi lỗi này.
Mozilla đã triển khai tất cả các bản sửa lỗi trong Firefox 67 và Firefox 60.7. Một số lỗ hổng bảo mật ảnh hưởng đến Firefox ESR cũng đã được vá trong phiên bản Firefox mới.
Bởi vậy, người dùng của các trình duyệt tương ứng cần đảm bảo giữ cho thiết bị của mình được cập nhật lên các phiên bản mới nhất càng sớm càng tốt để ngăn chặn bất kỳ rủi ro tiềm ẩn nào có thể xảy ra.
Đầu tháng 5 vừa qua, Mozilla cũng đã phát hành phiên bản Firefox 60.4 để khắc phục xung đột nghiêm trọng với các tiện ích bổ sung xảy ra do hết hạn chứng chỉ kỹ thuật số đã từng gây ra hiện tượng vô hiệu hóa bất thường của các tiện ích này.