Lỗi Zero-day nghiêm trọng của Firefox
Theo như bài đăng gần đây của Mozilla, hiện có hai lỗi nghiêm trọng trong trình duyệt Firefox. TIn xấu là cả hai lỗ hổng đều đã nằm trong tầm ngắm của hacker trước khi Mozilla có thể giải quyết chúng.
Theo Mozilla, cả hai lỗ hổng đều là lỗi use-after-free (không tương tác) ảnh hưởng đến các thành phần khác nhau. Lỗi đầu tiên là CVE-2020-6819, lỗi này xuất hiện khi chạy hàm hủy nsDocShell. Lỗi thứ 2 là CVE-2020-6820, một lỗi xuất hiện trong quá trình xử lý ReadableStream. Khi có race condition (hiện tượng khi nhiều threads cùng lúc truy cập và muốn thay đổi dữ liệu) thì cả 2 lỗi sẽ bị use-after-free.
Mozilla xác nhận việc cả hai lỗ hổng khai thác đếu đang bị kẻ xấu khai thác. Họ nói rằng “Chúng tôi nhận thức được sự tồn tại của những cuộc tấn công có chủ đích lợi dụng 2 lỗ hổng này”.
Công ty cũng thông báo 2 nhà nghiên cứu Francisco Alonso và Javier Marcos đã phát hiện ra 2 lỗi này.
Mozilla vá lỗi bằng Firefox phiên bản 74.0.1
Hiện tại, cả Mozilla và các nhà nghiên cứu đều không chia sẻ bất kỳ thông tin chi tiết nào về các lỗ hổng hay việc khai thác chúng.
Tuy nhiên, các nhà nghiên cứu đánh giá cao cách Mozilla nhanh chóng phát hành các bản vá cho cả hai lỗi trong khi đại dịch COVID-19 vẫn đang hoành hành.
Các nhà nghiên cứu cho rằng các lỗi tương tự cũng có khả năng ảnh hưởng đến các trình duyệt khác.
Hiện tại, Mozilla Firefox 74.0.1 đã sẵn sàng cho cho mọi người dùng cập nhật. Vì thế, mọi người nên đảm bảo cập nhật phiên bản trình duyệt mới nhất để tránh bị kẻ xấu khai thác.
Bản cập nhật mới này ra mắt chỉ vài tuần sau khi Mozilla tung ra Firefox 74 với các nâng cấp bảo mật lớn. Phiên bản Firefox 74 không những có thể sửa lỗi mà còn có thêm tiện ích mở rộng “Facebook Container”.
Mới đây, Twitter cũng đã giải quyết một lỗi cho phép Firefox lưu trữ các tập tin riêng tư của người dùng trong bộ nhớ cache. Lỗi này tác động đến các tệp riêng tư được người dùng chia sẻ qua DM (direct message – tin nhắn cá nhân), vi phạm quyền riêng tư cho người dùng PC công cộng.
