Nội dung
Mozilla đã chính thức phát hành phiên bản trình duyệt Firefox mới nhất chứa các cập nhật bảo mật quan trọng. Firefox 67 mang tới các bản sửa lỗi cho 24 lỗ hổng bảo mật khác nhau, bao gồm nhiều lỗ hổng “mức độ nghiêm trọng cao”.
Các sửa lỗi bảo mật chính trên Firefox 67
Mới đây, Mozilla đã tung ra phiên bản trình duyệt mới nhất củaFirefox. Bản phát hành trình duyệt Firefox 67 mang các bản sửa lỗi cho nhiều lỗibảo mật quan trọng.
Theo tiết lộ trong bản tư vấn gần nhất của Mozilla, các nhàcung cấp đã sửa hai bộ lỗi an toàn bộ nhớ “sống còn” (critical memory safetybugs) và nhiều lỗi “mức độ nghiêm trọng cao” (high-severity flaws). Những lỗi “sốngcòn” được nhắc tới bao gồm CVE-2019-9814 từng gây ảnh hưởng đến trình duyệtFirefox và CVE-2019-9800 từng được tìm thấy trên cả trình duyệt Firefox vàFirefox ESR. Mozilla cho rằng những kể tấn công đã từng khai thác các lỗi này đểchạy các mã tùy ý.
Liên quan đến các lỗ hổng “mức độ nghiêm trọng cao”, Mozillađã sửa tới 11 lỗ hổng khác nhau trong Firefox, đáng chú ý là lỗ hổng giống nhưSpectre (CVE-2019-9815) nhắm mục tiêu vào MacOS. Để bảo vệ thiết bị khỏi lỗ hổngnày, người dùng Mac cần ngay lập tức nâng cấp lên phiên bản macOS 10.14.5.
Bên cạnh đó, Firefox 67 cũng vá 6 lỗi use-after-free (chophép thực thi mã từ xa nếu người dùng tương tác với nội dung độc hại) và một sốlỗi bảo mật khác.
Trong số này, CVE-2019-9818 (lỗi use-after-free trong servertạo sự cố) chỉ ảnh hưởng đến người dùng Windows, CVE-2019-11693 (lỗi tràn bộ đệmtrong WebGL) chỉ ảnh hưởng đến hệ điều hành Linux, còn các lỗ hổng khác có thể ảnhhưởng đến tất cả người dùng trên mọi hệ điều hành sẵn có hiện nay.
Các bản vá bảo mật khác
Khác với các lỗi “sống còn” và “mức độ nghiêm trọng cao”,phiên bản Firefox mới đây cũng bao gồm các bản sửa cho 6 lỗi “mức độ nghiêm trọngtrung bình” và 2 lỗi bảo mật “mức độ nghiêm trọng thấp”.
Trong số các lỗi “mức độ nghiêm trọng trung bình” thìCVE-2019-11694 (lỗi rò rỉ bộ nhớ chưa được khởi tạo) và CVE-2019-11700 (lỗi mởcác tệp local đã biết thông qua res: protocol) chỉ ảnh hưởng đến người dùngWindows. Trong khi đó, lỗi “mức độ nghiêm trọng thấp” CVE-2019-11701 (webcal: giaothức xử lý mặc định tải trang web chứa lỗ hổng) sẽ chỉ hoạt động cho người dùngcó tài khoản trên các trang web chứa lỗ hổng XSS. Những người dùng khác không bịảnh hưởng bởi lỗi này.
Mozilla đã triển khai tất cả các bản sửa lỗi trong Firefox 67 và Firefox 60.7. Một số lỗ hổng bảo mật ảnh hưởng đến Firefox ESR cũng đã được vá trong phiên bản Firefox mới.
Bởi vậy, người dùng của các trình duyệt tương ứng cần đảm bảo giữ cho thiết bị của mình được cập nhật lên các phiên bản mới nhất càng sớm càng tốt để ngăn chặn bất kỳ rủi ro tiềm ẩn nào có thể xảy ra.
Đầu tháng 5 vừa qua, Mozilla cũng đã phát hành phiên bản Firefox 60.4 để khắc phục xung đột nghiêm trọng với các tiện ích bổ sung xảy ra do hết hạn chứng chỉ kỹ thuật số đã từng gây ra hiện tượng vô hiệu hóa bất thường của các tiện ích này.
LHN