Nội dung
Mozilla đã giải quyết một lỗ hổng bảo mật nghiêm trọng trong trình duyệt Firefox của mình. Lỗ hổng có thể cho phép tiết lộ mật khẩu đã lưu từ trình duyệt. Bất cứ ai có quyền truy cập cục bộ vào hệ thống đều có thể khai thác lỗi Mozilla Firefox này mà không cần mật khẩu Master.
Lỗ hổng trên Mozilla Firefox tiết lộ mật khẩu đã lưu
Một lỗ hổng nghiêm trọng tồn tại trong trình duyệt Mozilla Firefox có thể tiết lộ mật khẩu đã lưu cho kẻ tấn công. Như được trình bày trong tư vấn bảo mật của Mozilla, bất kỳ ai có quyền truy cập vật lý vào thiết bị đều có thể sao chép mật khẩu được lưu trong trình duyệt.
Vấn đề trở nên nghiêm trọng khi việc sao chép mật khẩu khảthi ngay cả khi người dùng đã kích hoạt mật khẩu Master.
Ở điều kiện lý tưởng nhất thì một khi người dùng đã kích hoạtmật khẩu Master, sẽ đồng nghĩa với việc bất cứ ai cũng sẽ không thể truy cập vàohộp thoại ‘Saved Logins’ (đăng nhập đã lưu) khi không nhập lại mật khẩu.Tuy nhiên, lỗ hổng được phát hiện gần đây cho phép bỏ qua tính năng kiểm tra bảomật này.
Mozilla cho biết mật khẩu được lưu cục bộ có thể được sao chéptới clipboard thông qua mục menu ngữ cảnh ‘copy password’ mà không cần nhập mậtkhẩu Master, cho phép hacker đánh cắp các mật khẩu đã lưu.
Mozilla đánh giá đây là một lỗi nghiêm trọng trung bình mangsố hiệu CVE ID CVE-2019-11733.
Firefox 68.0.2 chứa bản vá lỗ hổng
Với việc phát hành trình duyệt Firefox phiên bản 68.0.2, Mozilla dường như đã sửa lỗi này. Giờ đây, nếu một ai đó có quyền truy cập cục bộ vào trình duyệt cũng không thể xem hoặc sao chép mật khẩu đã lưu mà không nhập mật khẩu Master.
Mozilla cũng đã vá lỗ hổng tương tự trong Firefox ESR với việcphát hành phiên bản Firefox ESR 60.8.2.
Bản sửa lỗi giúp bảo đảm an toàn cho những người dùng đã kíchhoạt mật khẩu Master tránh khỏi các mối đe dọa từ các hoạt động trộm cắp mật khẩutiềm tàng.
Tuy nhiên với những ai chưa kích hoạt mật khẩu Master nhưngvẫn muốn lưu thông tin đăng nhập vào trình duyệt thì vẫn có khả năng phải đối mặtvới những rủi ro.
Lý do là bởi tính năng ‘save passwords’ (lưu mật khẩu) củaFirefox thường được kích hoạt mặc định nhưng lại không thường gửi lời nhắc (prompt)cho người dùng của mình để thiết lập mật khẩu Master.
Bởi vậy, người dùng Firefox được khuyến nghị nên bật tính năng bảo mật thiết lập mật khẩu Master càng sớm càng tốt, đồng thời bảo vệ thông tin đăng nhập cá nhân tránh khỏi các hoạt động tiết lộ vô tình hoặc cố ý với những người dùng trái phép.
LHN