Mozilla phát hành Firefox 67 sửa 24 lỗ hổng bảo mật

Mozilla đã chính thức phát hành phiên bản trình duyệt Firefox mới nhất chứa các cập nhật bảo mật quan trọng. Firefox 67 mang tới các bản sửa lỗi cho 24 lỗ hổng bảo mật khác nhau, bao gồm nhiều lỗ hổng “mức độ nghiêm trọng cao”.



Các sửa lỗi bảo mật chính trên Firefox 67



Mới đây, Mozilla đã tung ra phiên bản trình duyệt mới nhất của
Firefox. Bản phát hành trình duyệt Firefox 67 mang các bản sửa lỗi cho nhiều lỗi
bảo mật quan trọng.



Theo tiết lộ trong bản tư vấn gần nhất của Mozilla, các nhà
cung cấp đã sửa hai bộ lỗi an toàn bộ nhớ “sống còn” (critical memory safety
bugs) và nhiều lỗi “mức độ nghiêm trọng cao” (high-severity flaws). Những lỗi “sống
còn” được nhắc tới bao gồm CVE-2019-9814 từng gây ảnh hưởng đến trình duyệt
Firefox và CVE-2019-9800 từng được tìm thấy trên cả trình duyệt Firefox và
Firefox ESR. Mozilla cho rằng những kể tấn công đã từng khai thác các lỗi này để
chạy các mã tùy ý.



Liên quan đến các lỗ hổng “mức độ nghiêm trọng cao”, Mozilla
đã sửa tới 11 lỗ hổng khác nhau trong Firefox, đáng chú ý là lỗ hổng giống như
Spectre (CVE-2019-9815) nhắm mục tiêu vào MacOS. Để bảo vệ thiết bị khỏi lỗ hổng
này, người dùng Mac cần ngay lập tức nâng cấp lên phiên bản macOS 10.14.5.



Bên cạnh đó, Firefox 67 cũng vá 6 lỗi use-after-free (cho
phép thực thi mã từ xa nếu người dùng tương tác với nội dung độc hại) và một số
lỗi bảo mật khác.



Trong số này, CVE-2019-9818 (lỗi use-after-free trong server
tạo sự cố) chỉ ảnh hưởng đến người dùng Windows, CVE-2019-11693 (lỗi tràn bộ đệm
trong WebGL) chỉ ảnh hưởng đến hệ điều hành Linux, còn các lỗ hổng khác có thể ảnh
hưởng đến tất cả người dùng trên mọi hệ điều hành sẵn có hiện nay.



Các bản vá bảo mật khác



Khác với các lỗi “sống còn” và “mức độ nghiêm trọng cao”,
phiên bản Firefox mới đây cũng bao gồm các bản sửa cho 6 lỗi “mức độ nghiêm trọng
trung bình” và 2 lỗi bảo mật “mức độ nghiêm trọng thấp”.



Trong số các lỗi “mức độ nghiêm trọng trung bình” thì
CVE-2019-11694 (lỗi rò rỉ bộ nhớ chưa được khởi tạo) và CVE-2019-11700 (lỗi mở
các tệp local đã biết thông qua res: protocol) chỉ ảnh hưởng đến người dùng
Windows. Trong khi đó, lỗi “mức độ nghiêm trọng thấp” CVE-2019-11701 (webcal: giao
thức xử lý mặc định tải trang web chứa lỗ hổng) sẽ chỉ hoạt động cho người dùng
có tài khoản trên các trang web chứa lỗ hổng XSS. Những người dùng khác không bị
ảnh hưởng bởi lỗi này.



Mozilla đã triển khai tất cả các bản sửa lỗi trong Firefox 67 và Firefox 60.7 . Một số lỗ hổng bảo mật ảnh hưởng đến Firefox ESR cũng đã được vá trong phiên bản Firefox mới.



Bởi vậy, người dùng của các trình duyệt tương ứng cần đảm bảo giữ cho thiết bị của mình được cập nhật lên các phiên bản mới nhất càng sớm càng tốt để ngăn chặn bất kỳ rủi ro tiềm ẩn nào có thể xảy ra.



Đầu tháng 5 vừa qua, Mozilla cũng đã phát hành phiên bản Firefox 60.4 để khắc phục xung đột nghiêm trọng với các tiện ích bổ sung xảy ra do hết hạn chứng chỉ kỹ thuật số đã từng gây ra hiện tượng vô hiệu hóa bất thường của các tiện ích này.  



LHN
The post Mozilla phát hành Firefox 67 sửa 24 lỗ hổng bảo mật appeared first on SecurityDaily .