Chuyên mục Kỷ Nguyên Số

Báo Pháp luật Thành phố Hồ Chí Minh
DANH MỤC
  • Nhịp công nghệ
  • Thiết bị số
  • Tuyệt chiêu
  • Kinh Doanh Online
  • Công Nghệ 4.0
  • Xe Điện
Trang chủ
Kỷ nguyên số

Kỷ nguyên số

Phát hiện lỗ hổng đầu tiên của Firefox 3.5

Thứ năm 16/07/2009 16:57
printer envelope zini zini zini zini
Hôm qua, tập đoàn Mozilla chính thức đưa ra xác nhận về lỗ hổng bảo mật đầu tiên của phiên bản Firefox 3.5, và nói rằng hacker có thể lợi dụng lỗ hổng này để đột nhập vào máy tính đang chạy phiên bản trình duyệt này.

Một cộng tác viên nổi tiếng của Firefox gọi lỗ hổng này là “self-inflicted” (tự phát sinh) và cho rằng có thể tên hacker phát tán mã tấn công vào thứ 2 đã biết được lỗ hổng này qua Bugzilla, cơ sở dữ liệu theo dõi thay đổi và lỗi của Mozilla.

Mozilla nói rằng lỗ hổng này nằm trong công cụ JavaScript TraceMonkey được ra mắt cùng với Firefox 3.5. Trên một blog bảo mật của công ty vào hôm thứ 3, Mozilla cho biết “Lỗ hổng này có thể bị hacker khai thác bằng cách lừa nạn nhân truy cập vào một website độc hại có chứa mã tấn công.”

Secunia, một công ty bảo mật của Đan Mạch, đánh giá giá mức độ nguy hiểm ở mức “highly critical”, mức nguy hiểm thứ 4 trong số 5 mức, và nói rằng lỗ hổng này xuất hiện khi TraceMonkey xử lý mã JavaScript điều khiển thẻ của HTML.

Trong mục bình luận trên blog của Mozilla, Asa Dotzler, Giám đốc bộ phận phát triển của công ty, cho biết những phiên bản Firefox trước đó, bao gồm Firefox 3.0, không hề có lỗ hổng nào.

Trên blog cũng có thông tin cho rằng “Những nhà phát triển Mozilla đang viết một bản vá cho lỗ hổng này, và bản cập nhật bảo mật Firefox sẽ được tung ra ngay khi bản vá được hoàn thành và thử nghiệm.”

Thay vì sử dụng bản vá, người dùng cũng có thể tự bảo vệ bằng cách hủy bỏ thành phần “just-in-time” của công cụ TraceMonkey. Để hủy bỏ người dùng chỉ cần nhập “about:config” vào thanh địa chỉ của Firefox, gõ “jit” trong hộp lọc, sau đó click đúp vào mục “javascript.options.jit.content” và đặt giá trị là “false”. Thành phần add-on NoScript cũng sẽ không bị tấn công.

Tên hacker phát tán mã tấn công trên trang malware Milw0rm.com vào hôm thứ 2 không phải là người đầu tiên phát hiện ra lỗ hổng này: Những nhà phát triển của Mozilla phát hiện lỗ hổng này vào thứ 5 tuần trước và họ đang tiến hành khắc phục thì mã tấn công được phát tán.

Andreas Gal, thành viên dự án Bugzilla, tranh luận rằng “Khi xem xét mã tấn công và giai đoạn thử nghiệm, tôi nghĩ rằng lỗ hổng này là “self-inficted” và nhẽ ra chúng tôi phải khắc phục nó sớm hơn.”. Gal là một nhà khao học nghiên cứu dự án của trường đại học California, nơi phát triển kĩ thuật "trace trees". Công cụ TraceMonkey của Firefox 3.5 được tạo ra dựa trên kĩ thuật này, còn code và ý tưởng được lấy từ dự án mã nguồn mở Tamarin Tracing.

Một công tác viên khác cũng đồng ý với ý kiến cho rằng “Dường như mã tấn công Milw0rm dựa trên giai đoạn kiểm thử để phát hiện ra lỗ hổng này. Khi xem xét chi tiết mã tấn công trong một chương trình gỡ rối, bạn sẽ thấy rằng nó sử dụng heap spray để thực hiện truy cập trái phép."

Bản vá cho lỗ hổng này được coi là phiên bản Firefox 3.5.1, một bản cập nhật fast-track, ban đầu dự định sẽ được tung ra vào nửa cuối tháng này.

Daniel Veditz, trưởng bộ phận bảo mật của Mozilla, cho biết bản vá sẽ nhanh chóng bít được lỗ hổng này. Vào tối hôm thứ 3, trong bình luận đăng trên blog bảo mật của Mozilla, Veditz nói “Lỗ hổng này đã được kiểm tra ngày hôm qua, chỉ vài giờ sau khi chúng tôi biết thông tin về mã tấn công từ Milw0rm. Bản vá này sẽ nằm trong bản cập nhật 3.5.x mà chúng tôi dự định tung ra vào cuối tháng 7, nhưng hiện nay chúng tôi đã đẩy thời gian lên sớm hơn."

Xian (Theo Quantrimang/ComputerWorld


 

các tin khác

  • Công nghiệp phần mềm: Bao giờ hết "ngọa hổ, tàng long"?
  • Việt Nam ra khỏi top 10 vi phạm bản quyền phần mềm
  • Dùng hệ điều hành "đám mây" của Microsoft tốn 0,12 USD mỗi giờ
  • LiveAndroid biến PC thành "smartphone không thoại"
  • Bí kíp che giấu và bảo vệ dữ liệu riêng tư
  • Steve Ballmer coi nhẹ thách thức từ hệ điều hành Google Chrome
  • Yahoo! Việt Nam “chơi khó” các mạng xã hội trong nước
  • Dân văn phòng Mỹ đòi được... online nhiều hơn
  • Đài Loan: Mua bán ĐTDĐ giả, nhái sẽ bị phạt

tin đọc nhiều

  • iPhone X 64 GB giá chỉ còn 8,19 triệu đồng
  • Đánh giá nhanh mẫu điện thoại cao cấp Mi 11
  • 5 lý do khiến người dùng ưa chuộng iPhone hơn Android
CHỈ MỤC
  • Nhịp công nghệ
  • Thiết bị số
  • Tuyệt chiêu
  • Kinh Doanh Online
  • Công Nghệ 4.0
  • Xe Điện
  • rss G+ Facebok

Chuyên mục Kỷ Nguyên Số

© Chuyên mục công nghệ Báo điện tử Pháp Luật Thành phố Hồ Chí Minh. Cơ quan chủ quản: Ủy ban Nhân dân Thành phố Hồ Chí Minh
Giấy phép số: 636/GP-BTTTT của Bộ Thông tin và Truyền thông cấp ngày 28-12-2020
Tổng Biên Tập: Mai Ngọc Phước. Tòa soạn: 34 Hoàng Việt, Phường 4, Quận Tân Bình, TPHCM
Tổng đài: (028)39910101 - 39914701. Fax: (028) 3991 4661; Email: kynguyenso@phapluattp.vn

Liên hệ Truyền Thông, quảng cáo: (028) 39914669 – Fax: (028) 39914606, Email: quangcao@phapluattp.vn

® Pháp Luật TP.HCM giữ bản quyền nội dung trên website này.

Cấm sao chép dưới mọi hình thức nếu không có sự chấp thuận bằng văn bản của Báo.

Đang hiển thị 2201645673509662010.