Bản vá lỗi Mozilla Firefox 72.0.1 khắc phục lỗi bảo mật nghiêm trọng

admin — Thu, 09 Jan 2020 02:51:03 +0000

Mozilla đã phát hành Firefox 72.0.1 và Firefox ESR 68.4.1 để vá lỗ hổng nghiêm trọng và được khai thác tích cực, có khả năng cho phép kẻ tấn công thực thi mã hoặc kích hoạt sự cố trên các máy chạy các phiên bản Firefox dễ bị tấn công.

Như lời khuyên bảo mật của Mozilla nói, các nhà phát triển Firefox “nhận thức được các cuộc tấn công có chủ đích trong việc lạm dụng lỗ hổng này”, điều này có thể khiến những kẻ tấn công khai thác thành công để lạm dụng các hệ thống bị ảnh hưởng.

Lỗ hổng zero-day Firefox và Firefox ESR được sửa bởi Mozilla đã được báo cáo bởi một nhóm nghiên cứu từ Qihoo 360 ATA.

Chúng tôi đã liên hệ với các nhà nghiên cứu Qihoo 360 ATA để biết thêm chi tiết nhưng không được nghe lại tại thời điểm xuất bản này.

Lỗ hổng nhầm lẫn loại được theo dõi là CVE-2019-11707 ảnh hưởng đến trình biên dịch IonMonkey Just-In-Time (JIT) của trình duyệt web và nó xảy ra khi thông tin bí danh không chính xác được cung cấp để thiết lập các thành phần mảng.

Loại lỗ hổng bảo mật này có thể dẫn đến truy cập bộ nhớ ngoài giới hạn trong các ngôn ngữ mà không an toàn bộ nhớ, trong một số trường hợp, có thể dẫn đến thực thi mã hoặc sự cố có thể khai thác.

Những kẻ tấn công tiềm năng có thể kích hoạt lỗ hổng nhầm lẫn bằng cách chuyển hướng người dùng các phiên bản Firefox chưa được vá sang các trang web được tạo ra độc hại.

Cơ quan an ninh cơ sở hạ tầng và an ninh mạng Hoa Kỳ (CISA) cũng đưa ra cảnh báo rằng “kẻ tấn công có thể khai thác lỗ hổng này để kiểm soát hệ thống bị ảnh hưởng” và khuyên người dùng nên xem lại Tư vấn bảo mật Mozilla và áp dụng bản cập nhật bảo mật.

Mặc dù không có thông tin nào khác liên quan đến lỗ hổng zero-day này, tất cả người dùng nên cài đặt bản phát hành Firefox đã vá bằng cách kiểm tra thủ công bản cập nhật mới bằng cách vào menu Firefox -> Trợ giúp -> Giới thiệu về Firefox.

Bạn cũng có thể tải xuống phiên bản vá mới nhất cho Windows, macOS và Linux từ các liên kết sau:

Bản vá bảo mật này xuất hiện một ngày sau khi Firefox 72.0 được phát hành với các bản sửa lỗi cho 11 lỗ hổng bảo mật khác, trong đó chúng được phân loại là ‘Cao’, năm được phân loại là ‘Trung bình’ và một là ‘Thấp’.

Trong số năm lỗ hổng nghiêm trọng cao, bốn kẻ có khả năng có thể bị kẻ tấn công sử dụng để thực thi mã tùy ý sau khi dẫn nạn nhân đến các trang độc hại được chế tạo đặc biệt.

Vào tháng 6 năm 2019, Mozilla đã vá hai lỗ hổng zero-day được khai thác tích cực khác được sử dụng trong các cuộc tấn công nhắm mục tiêu chống lại các công ty tiền điện tử như Coinbase.

Nguồn BleepingComputer

Khóa học Chuyên Viên Quản Trị Website – ACWT

Mozilla bổ sung nhà cung cấp DNS-Over-HTTPS bổ sung cho Firefox

admin — Fri, 27 Dec 2019 02:49:24 +0000

Mozilla đã thêm một nhà cung cấp DNS bổ sung vào triển khai DNS-Over-HTTPS của mình trong Firefox. Điều này cung cấp cho người dùng Firefox nhiều tùy chọn hơn về nhà cung cấp DoH mà họ sử dụng để tra cứu DNS an toàn.

Khi Mozilla thông báo rằng họ sẽ chỉ thử nghiệm triển khai DoH với các máy chủ DNS của Cloudflare, người dùng đã lo ngại rằng việc sử dụng một nhà cung cấp sẽ làm giảm sự riêng tư của người dùng và cung cấp cho nhà cung cấp đó quá nhiều dữ liệu về người dùng Firefox.

Trong một bài đăng trên blog, Firefox đã thông báo rằng họ đã xem xét NextDNS thông qua Chương trình giải quyết đệ quy đáng tin cậy của họ và họ sẽ là nhà cung cấp DoH bổ sung mà người dùng có thể chọn trong Firefox. Chương trình giải quyết đệ quy đáng tin cậy yêu cầu các nhà cung cấp DNS phải tuân thủ một số thực tiễn bảo mật và quyền riêng tư trước khi được Mozilla chấp thuận.

Đối với hầu hết người dùng, rất khó để biết các yêu cầu DNS của họ đi đâu và trình giải quyết đang làm gì với họ. Chuyên gia Eric Rescorla, Firefox CTO cho biết. Chương trình giải quyết đệ quy đáng tin cậy của Firefox Firefox cho phép Mozilla thương lượng với các nhà cung cấp thay mặt bạn và yêu cầu họ có chính sách bảo mật mạnh mẽ trước khi xử lý dữ liệu DNS của bạn. Chúng tôi rất vui mừng khi có đối tác NextDNS với chúng tôi trong công việc của mình để đưa mọi người trở lại quyền kiểm soát dữ liệu và quyền riêng tư của họ trực tuyến.

NextDNS hiện không xuất hiện trong phiên bản ổn định của Firefox 71 hoặc Firefox Beta 72, nhưng xuất hiện dưới dạng tùy chọn trong Firefox Nightly 73.

Trong Firefox Nightly 73, nếu người dùng truy cập các tùy chọn Firefox> Chung> Cài đặt trong Cài đặt mạng> Bật DNS qua HTTPS, giờ đây họ có thể chọn NextDNS làm nhà cung cấp DoH.

Cung cấp cho người dùng nhiều tùy chọn và lựa chọn là cách tiếp cận tốt hơn nhiều so với thử nghiệm với một nhà cung cấp duy nhất vì nó không chỉ mang lại sự riêng tư tốt hơn cho người dùng Firefox mà còn cho phép họ chọn người họ muốn giải quyết các yêu cầu DNS của họ.

Cá nhân, tôi thích cách tiếp cận của Google với DoH, công ty sẽ cố gắng cung cấp cho người dùng DNS cho DoH trước và nếu họ không hỗ trợ giao thức, hãy quay lại độ phân giải DNS bình thường.

Điều này cho phép người dùng tiếp tục sử dụng các máy chủ DNS của ISP mà họ cảm thấy thoải mái khi sử dụng.

Nguồn BleepingComputer

Khóa học Hacker Mũ Trắng – AEH

firefox – Trung tâm quản trị mạng và an ninh mạng quốc tế Athena

Bản vá lỗi Mozilla Firefox 72.0.1 khắc phục lỗi bảo mật nghiêm trọng

Mozilla bổ sung nhà cung cấp DNS-Over-HTTPS bổ sung cho Firefox