Nội dung
Mới đây, Mozilla đã chính thức phát hành phiên bản trình duyệt Firefox 68 chứa nhiều bản cập nhật bảo mật quan trọng.
Phiên bản cập nhật mới này không chỉ mang đến các bản sửa lỗi bảo mật thông thường mà còn cung cấp tính năng chặn các phần mềm đào tiền điện tử (cryptominer) và theo dõi người dùng (fingerprinter).
Firefox 68 vá lỗi trộm cắp dữ liệu cục bộ
Lỗ hổng đáng chú ý nhất được vá trong phiên bản Firefox 68 là một lỗ hổng cũ có thể cho phép các hacker đánh cắp tệp trong thư mục mở tập tin HTML.
Trong suốt 17 năm qua, đã có rất nhiều lần các nhà nghiên cứuthông tin cho Mozilla về lỗ hổng tồn tại tuy nhiên phía công ty vẫn không có bấtkỳ động thái nào về việc vá lỗ hổng này. Cho tới tận gần đây khi nhà nghiên cứuBarak Tawily công khai tiết lộ các chi tiết về lỗ hổng thì Mozilla mới chính thứcđưa ra bản vá trong phiên bản Firefox 68.
Cuối cùng thì sau rất nhiều năm, Mozilla đã thừa nhận lỗi nàyvà xác định nó là CVE-2019-11730 (mức độ nghiêm trọng trung bình), đồng thời pháthành bản vá cho nó.
Trong bản tư vấn bảo mật mới công bố, Mozilla cho biết lỗ hổngtồn tại khi người dùng mở tệp HTML được lưu cục bộ. Tệp này có thể sử dụng file:URIs để truy cập các tệp khác trong cùng thư mục hoặc trong các thư mục con nếuhacker nắm được hoặc đoán biết được tên của chúng. API Fetch sau đó có thể đượcsử dụng để đọc nội dung của bất kỳ tệp nào được lưu trữ trong các thư mục này vàthậm chí có thể tải chúng lên máy chủ.
Bên canh đó, một nhà nghiên cứu khác mang tên Luigi Gubellocũng từng mô phỏng cách thức khai thác lỗ hổng này thông qua các HTML độc hại.
Luigi cho biết nếu một tệp đính kèm HTML độc hại được gửi đến người dùng thông qua mộtứng dụng nhắn tin của Android và người dùng mở tệp đính kèm đó trong Firefox thìcác hacker thậm chí có thể đọc được các tệp đính kèm mà nạn nhân nhận được từnhững người khác. Nguyên nhân là do các ứng dụng có thể dự đoán mẫu chocác tên tệp được lưu cục bộ.
Các bản sửa lỗi bảo mật khác trong Firefox
Ngoài bản sửa lỗi cho lỗ hổng lâu năm kể trên, Mozilla còn cungcấp bản vá cho một số lỗ hổng khác nằm trong trình duyệt Firefox, bao gồm 4 lỗhổng mức độ nghiêm trọng cao, 9 lỗ hổng mức độ nghiêm trọng trung bình và 5 lỗhổng mức độ nghiêm trọng thấp.
Ngoài ra, Mozilla cũng đã sửa một số lỗi an toàn bộ nhớ quan trọng như CVE-2019-11710 và CVE-2019-11709 (Lỗ hổng ảnh hưởng đến Firefox ESR). Firefox ESR cũng được cập nhật lên phiên bản 60.8 chứa các bản vá lỗ hổng tương tự.
Bảo mật tốt hơn với các biện pháp bảo vệ chống cryptomining và fingerprinting
Bên cạnh việc sửa lỗi bảo mật, Mozilla cũng giới thiệu cáctính năng bảo mật mới trong phiên bản cập nhật của trình duyệt Firefox.
Giờ đây, Mozilla cung cấp cho người dùng quyền kiểm soát để chặn các công cụ khai thác tiền điện tử (cryptomining) và theo dõi (fingerprinting). Mặc dù tính năng chặn nội dung đã có trong Firefox 67, nhưng điểm khác biệt trong Firefox 68 là việc kiểm soát các tính năng này sẽ nằm trong các thiết đặt riêng biệt
Người dùng có thể tìm thấy các tùy chọn này trong tab ‘Quyềnriêng tư