Mozilla phát hành Firefox 68 vá lỗ hổng tồn tại 17 năm và nhiều lỗ hổng khác

Mới đây, Mozilla đã chính thức phát hành phiên bản trình duyệt Firefox 68 chứa nhiều bản cập nhật bảo mật quan trọng.



Phiên bản cập nhật mới này không chỉ mang đến các bản sửa lỗi bảo mật thông thường mà còn cung cấp tính năng chặn các phần mềm đào tiền điện tử (cryptominer) và theo dõi người dùng (fingerprinter).




Firefox 68 vá lỗi trộm cắp dữ liệu cục bộ



Lỗ hổng đáng chú ý nhất được vá trong phiên bản Firefox 68 là một lỗ hổng cũ có thể cho phép các hacker đánh cắp tệp trong thư mục mở tập tin HTML.



Trong suốt 17 năm qua, đã có rất nhiều lần các nhà nghiên cứu
thông tin cho Mozilla về lỗ hổng tồn tại tuy nhiên phía công ty vẫn không có bất
kỳ động thái nào về việc vá lỗ hổng này. Cho tới tận gần đây khi nhà nghiên cứu
Barak Tawily công khai tiết lộ các chi tiết về lỗ hổng thì Mozilla mới chính thức
đưa ra bản vá trong phiên bản Firefox 68.  



Cuối cùng thì sau rất nhiều năm, Mozilla đã thừa nhận lỗi này
và xác định nó là CVE-2019-11730 (mức độ nghiêm trọng trung bình), đồng thời phát
hành bản vá cho nó.  



Trong bản tư vấn bảo mật mới công bố, Mozilla cho biết lỗ hổng
tồn tại khi người dùng mở tệp HTML được lưu cục bộ. Tệp này có thể sử dụng file:
URIs để truy cập các tệp khác trong cùng thư mục hoặc trong các thư mục con nếu
hacker nắm được hoặc đoán biết được tên của chúng. API Fetch sau đó có thể được
sử dụng để đọc nội dung của bất kỳ tệp nào được lưu trữ trong các thư mục này và
thậm chí có thể tải chúng lên máy chủ.



Bên canh đó, một nhà nghiên cứu khác mang tên Luigi Gubello
cũng từng mô phỏng cách thức khai thác lỗ hổng này thông qua các HTML độc hại.



Luigi cho biết nếu một tệp đính kèm HTML độc hại được gửi đến người dùng thông qua một
ứng dụng nhắn tin của Android và người dùng mở tệp đính kèm đó trong Firefox thì
các hacker thậm chí có thể đọc được các tệp đính kèm mà nạn nhân nhận được từ
những người khác. Nguyên nhân là do các ứng dụng có thể dự đoán mẫu cho
các tên tệp được lưu cục bộ.




Các bản sửa lỗi bảo mật khác trong Firefox



Ngoài bản sửa lỗi cho lỗ hổng lâu năm kể trên, Mozilla còn cung
cấp bản vá cho một số lỗ hổng khác nằm trong trình duyệt Firefox, bao gồm 4 lỗ
hổng mức độ nghiêm trọng cao, 9 lỗ hổng mức độ nghiêm trọng trung bình và 5 lỗ
hổng mức độ nghiêm trọng thấp.



Ngoài ra, Mozilla cũng đã sửa một số lỗi an toàn bộ nhớ quan trọng như CVE-2019-11710 và CVE-2019-11709 (Lỗ hổng ảnh hưởng đến Firefox ESR). Firefox ESR cũng được cập nhật lên phiên bản 60.8 chứa các bản vá lỗ hổng tương tự.




Bảo mật tốt hơn với các biện pháp bảo vệ chống cryptomining và fingerprinting



Bên cạnh việc sửa lỗi bảo mật, Mozilla cũng giới thiệu các
tính năng bảo mật mới trong phiên bản cập nhật của trình duyệt Firefox.



Giờ đây, Mozilla cung cấp cho người dùng quyền kiểm soát để chặn các công cụ khai thác tiền điện tử (cryptomining) và theo dõi (fingerprinting). Mặc dù tính năng chặn nội dung đã có trong Firefox 67, nhưng điểm khác biệt trong Firefox 68 là việc kiểm soát các tính năng này sẽ nằm trong các thiết đặt riêng biệt



Người dùng có thể tìm thấy các tùy chọn này trong tab ‘Quyền
riêng tư & Bảo mật’ (Privacy & Security) trong cài đặt ‘Tùy chỉnh’
(Custom).







Trong khi đó, các thiết lập này thường hiển thi mặc định
trong phần cài đặt tùy chọn ‘Strict’.







Firefox cũng đã đề cập tới những thay đổi này trong blog mới
được đăng tải. Firefox cho biết trong một số trường hợp, việc chặn nội dung này
làm cho các trang tải nhanh hơn, nhưng có thể ảnh hưởng đến chức năng của
trang.



Tuy nhiên cũng rất dễ dàng cho người dùng để vô hiệu hóa tính năng chặn trên các trang web mà họ tin cậy. Giờ đây, người dùng hiện có quyền tự do quản lý các cài đặt này theo sở thích và ưu tiên cá nhân của mình.



LHN
The post Mozilla phát hành Firefox 68 vá lỗ hổng tồn tại 17 năm và nhiều lỗ hổng khác appeared first on SecurityDaily .