Bản vá lỗi Mozilla Firefox 72.0.1 khắc phục lỗi bảo mật nghiêm trọng
Mozilla đã phát hành Firefox 72.0.1 và Firefox ESR 68.4.1 để vá lỗ hổng nghiêm trọng và được khai thác tích cực, có khả năng cho phép kẻ tấn công thực thi mã hoặc kích hoạt sự cố trên các máy chạy các phiên bản Firefox dễ bị tấn công.
Như lời khuyên bảo mật của Mozilla nói, các nhà phát triển Firefox “nhận thức được các cuộc tấn công có chủ đích trong việc lạm dụng lỗ hổng này”, điều này có thể khiến những kẻ tấn công khai thác thành công để lạm dụng các hệ thống bị ảnh hưởng.
Lỗ hổng zero-day Firefox và Firefox ESR được sửa bởi Mozilla đã được báo cáo bởi một nhóm nghiên cứu từ Qihoo 360 ATA.
Chúng tôi đã liên hệ với các nhà nghiên cứu Qihoo 360 ATA để biết thêm chi tiết nhưng không được nghe lại tại thời điểm xuất bản này.
Lỗ hổng nhầm lẫn loại được theo dõi là CVE-2019-11707 ảnh hưởng đến trình biên dịch IonMonkey Just-In-Time (JIT) của trình duyệt web và nó xảy ra khi thông tin bí danh không chính xác được cung cấp để thiết lập các thành phần mảng.
Loại lỗ hổng bảo mật này có thể dẫn đến truy cập bộ nhớ ngoài giới hạn trong các ngôn ngữ mà không an toàn bộ nhớ, trong một số trường hợp, có thể dẫn đến thực thi mã hoặc sự cố có thể khai thác.
Những kẻ tấn công tiềm năng có thể kích hoạt lỗ hổng nhầm lẫn bằng cách chuyển hướng người dùng các phiên bản Firefox chưa được vá sang các trang web được tạo ra độc hại.
Cơ quan an ninh cơ sở hạ tầng và an ninh mạng Hoa Kỳ (CISA) cũng đưa ra cảnh báo rằng “kẻ tấn công có thể khai thác lỗ hổng này để kiểm soát hệ thống bị ảnh hưởng” và khuyên người dùng nên xem lại Tư vấn bảo mật Mozilla và áp dụng bản cập nhật bảo mật.
Mặc dù không có thông tin nào khác liên quan đến lỗ hổng zero-day này, tất cả người dùng nên cài đặt bản phát hành Firefox đã vá bằng cách kiểm tra thủ công bản cập nhật mới bằng cách vào menu Firefox -> Trợ giúp -> Giới thiệu về Firefox.
Bạn cũng có thể tải xuống phiên bản vá mới nhất cho Windows, macOS và Linux từ các liên kết sau:
- Firefox 72.0.1 for Windows 64-bit
- Firefox 72.0.1 for Windows 32-bit
- Firefox 72.0.1 for macOS
- Firefox 72.0.1 for Linux 64-bit
- Firefox 72.0.1 for Linux 32-bit
Bản vá bảo mật này xuất hiện một ngày sau khi Firefox 72.0 được phát hành với các bản sửa lỗi cho 11 lỗ hổng bảo mật khác, trong đó chúng được phân loại là ‘Cao’, năm được phân loại là ‘Trung bình’ và một là ‘Thấp’.
Trong số năm lỗ hổng nghiêm trọng cao, bốn kẻ có khả năng có thể bị kẻ tấn công sử dụng để thực thi mã tùy ý sau khi dẫn nạn nhân đến các trang độc hại được chế tạo đặc biệt.
Vào tháng 6 năm 2019, Mozilla đã vá hai lỗ hổng zero-day được khai thác tích cực khác được sử dụng trong các cuộc tấn công nhắm mục tiêu chống lại các công ty tiền điện tử như Coinbase.
Nguồn BleepingComputer