bossnabito
17-07-2008, 10:31 PM
Mozilla vừa vá hai lỗi nghiêm trọng trong Firefox, đồng thời thực hiện một công việc trái với tiền lệ: cập nhật bản 2.0 vào thứ ba, và lùi ngày cập nhật bản 3.0 đến thứ tư.
đồng thời thực hiện một công việc trái với tiền lệ: cập nhật bản 2.0 vào thứ ba, và lùi ngày cập nhật bản 3.0 đến thứ tư.
Hai bản vá trên có số hiệu lần lượt là Firefox 2.0.0.16 và Firefox 3.0.1, và đều vá hai lỗi được Mozilla đánh giá là “nghiêm trọng” theo thang nguy hiểm 4 cấp. Firefox 2.0.0.16 đă được post lên máy chủ Mozilla vào chiều thứ ba vừa rồi.
Firefox 3.0.1, bản cập nhật đầu tiên kể từ khi tŕnh duyệt nguồn mở này được nâng cấp gần 1 tháng trước, phải đến hôm qua mới xuất hiện, theo thông báo trên website Mozilla.
Một trong những lỗi được khắc phục trong bản 2.0.0.16 và 3.0.1 được phát hiện bởi nhà nghiên cứu Billy Rios, người đă viết một bài về hiểm hoạ “tổng hợp” đối với người dùng Windows cài cả hai tŕnh duyệt Safari của Apple và Firefox của Mozilla trên cùng một hệ thống. Sau đó, Rios cho rằng lỗi “bom rải thảm” trong Safari -- được phát hiện lần đầu vào tháng 5 và được Apple sửa vào tháng 6 – có thể kết hợp với một trong những lỗ hổng khác, không chỉ tấn công người dùng Internet Explorer mà cả người dùng Firefox.
Trở lại tháng 6, khi đó Rios tránh cung cấp chi tiết kỹ thuật của mă tấn công mà chỉ cho biết anh đă gửi nó cho Mozilla. “Tôi tin rằng chúng ta sẽ sớm có được bản vá lỗi,” Rios viết trên blog vào hôm 20-6.
Mozilla cũng xác nhận những phát hiện của Rios: “Rios đă chứng minh được rằng lỗi bom rải thảm trong Safari có thể bị lợi dụng vào mục đích này, cũng như các kỹ thuật khác không dựa trên lỗ hổng Safari - hiện đă được vá.”
Firefox 3.0, tuy cũng phải vá, nhưng chịu ít nguy cơ hơn từ lỗi tổng hợp trên, bởi khả năng tiếp cận các file từ các tập lệnh chạy trên tŕnh duyệt khá hạn chế.
Mozilla cũng tự ca ngợi ḿnh trong bản thông báo đi kèm: “Kiểu tấn công này chỉ hoạt động nếu người dùng sử dụng một ứng dụng kết nối Internet khác mà không chạy Firefox. Việc sử dụng Firefox sẽ giúp ngăn chặn kiểu tấn công này.”
Lỗi thứ hai được khắc phục cũng được đánh giá là nghiêm trọng, nằm trong cấu trúc dữ liệu CSSValue của Firefox và có thể bị tin tặc lợi dụng để dẫn đến va chạm rồi từ đó cài mă độc.
Lỗi này cũng ảnh hưởng đến Thunderbird 2.0, ứng dụng email của Mozilla bởi ứng dụng này cũng sử dụng chung hệ thống hoàn trả của Firefox. Nhưng kể từ đầu tháng 5, Thunderbird vẫn chưa được vá. Trong thời gian chờ đợi bản vá này xuất hiện vào ngày 23/7, Mozilla khuyên người dùng vô hiệu hoá JavaScript trong ứng dụng
Mozilla cũng nhắc lại rằng họ sẽ chỉ hỗ trợ bản cập nhật dành cho Firefox 2.0 cho đến giữa tháng 12-2008. Trước đó, sau khi Firefox 3.0 ra mắt, Mozilla cũng đưa ra cảnh báo này bởi quy định của họ chỉ cho phép hỗ trợ các phần mềm cũ trong ṿng 6 tháng sau khi phát hành bản vá chính.
Hiện người dùng đă có thể download Firefox 2.0.0.16 (http://www.mozilla.com/en-US/firefox/all-older.html) cho Windows, Mac OS X và Linux từ website Mozilla, sử dụng chương tŕnh cập nhật tích hợp trong tŕnh duyệt hoặc đợi thông báo cập nhật, thường xuất hiện trong ṿng 24 đến 48 giờ.
Firefox 3.0.1, sẽ được post lên website Mozilla (http://www.mozilla.com/en-US/firefox/all.html) sau khi ra mắt.
Nguồn:3c.com.vn
đồng thời thực hiện một công việc trái với tiền lệ: cập nhật bản 2.0 vào thứ ba, và lùi ngày cập nhật bản 3.0 đến thứ tư.
Hai bản vá trên có số hiệu lần lượt là Firefox 2.0.0.16 và Firefox 3.0.1, và đều vá hai lỗi được Mozilla đánh giá là “nghiêm trọng” theo thang nguy hiểm 4 cấp. Firefox 2.0.0.16 đă được post lên máy chủ Mozilla vào chiều thứ ba vừa rồi.
Firefox 3.0.1, bản cập nhật đầu tiên kể từ khi tŕnh duyệt nguồn mở này được nâng cấp gần 1 tháng trước, phải đến hôm qua mới xuất hiện, theo thông báo trên website Mozilla.
Một trong những lỗi được khắc phục trong bản 2.0.0.16 và 3.0.1 được phát hiện bởi nhà nghiên cứu Billy Rios, người đă viết một bài về hiểm hoạ “tổng hợp” đối với người dùng Windows cài cả hai tŕnh duyệt Safari của Apple và Firefox của Mozilla trên cùng một hệ thống. Sau đó, Rios cho rằng lỗi “bom rải thảm” trong Safari -- được phát hiện lần đầu vào tháng 5 và được Apple sửa vào tháng 6 – có thể kết hợp với một trong những lỗ hổng khác, không chỉ tấn công người dùng Internet Explorer mà cả người dùng Firefox.
Trở lại tháng 6, khi đó Rios tránh cung cấp chi tiết kỹ thuật của mă tấn công mà chỉ cho biết anh đă gửi nó cho Mozilla. “Tôi tin rằng chúng ta sẽ sớm có được bản vá lỗi,” Rios viết trên blog vào hôm 20-6.
Mozilla cũng xác nhận những phát hiện của Rios: “Rios đă chứng minh được rằng lỗi bom rải thảm trong Safari có thể bị lợi dụng vào mục đích này, cũng như các kỹ thuật khác không dựa trên lỗ hổng Safari - hiện đă được vá.”
Firefox 3.0, tuy cũng phải vá, nhưng chịu ít nguy cơ hơn từ lỗi tổng hợp trên, bởi khả năng tiếp cận các file từ các tập lệnh chạy trên tŕnh duyệt khá hạn chế.
Mozilla cũng tự ca ngợi ḿnh trong bản thông báo đi kèm: “Kiểu tấn công này chỉ hoạt động nếu người dùng sử dụng một ứng dụng kết nối Internet khác mà không chạy Firefox. Việc sử dụng Firefox sẽ giúp ngăn chặn kiểu tấn công này.”
Lỗi thứ hai được khắc phục cũng được đánh giá là nghiêm trọng, nằm trong cấu trúc dữ liệu CSSValue của Firefox và có thể bị tin tặc lợi dụng để dẫn đến va chạm rồi từ đó cài mă độc.
Lỗi này cũng ảnh hưởng đến Thunderbird 2.0, ứng dụng email của Mozilla bởi ứng dụng này cũng sử dụng chung hệ thống hoàn trả của Firefox. Nhưng kể từ đầu tháng 5, Thunderbird vẫn chưa được vá. Trong thời gian chờ đợi bản vá này xuất hiện vào ngày 23/7, Mozilla khuyên người dùng vô hiệu hoá JavaScript trong ứng dụng
Mozilla cũng nhắc lại rằng họ sẽ chỉ hỗ trợ bản cập nhật dành cho Firefox 2.0 cho đến giữa tháng 12-2008. Trước đó, sau khi Firefox 3.0 ra mắt, Mozilla cũng đưa ra cảnh báo này bởi quy định của họ chỉ cho phép hỗ trợ các phần mềm cũ trong ṿng 6 tháng sau khi phát hành bản vá chính.
Hiện người dùng đă có thể download Firefox 2.0.0.16 (http://www.mozilla.com/en-US/firefox/all-older.html) cho Windows, Mac OS X và Linux từ website Mozilla, sử dụng chương tŕnh cập nhật tích hợp trong tŕnh duyệt hoặc đợi thông báo cập nhật, thường xuất hiện trong ṿng 24 đến 48 giờ.
Firefox 3.0.1, sẽ được post lên website Mozilla (http://www.mozilla.com/en-US/firefox/all.html) sau khi ra mắt.
Nguồn:3c.com.vn