Mozilla đang phải vắt chân lên cổ phát triển miếng vá dành cho trình duyệt Firefox, sau khi thông tin chi tiết về một lỗ hổng bảo mật nghiêm trọng bên trong "Cáo lửa" đã bị hacker công bố lên mạng.
Lỗ hổng này cho phép bọn tội phạm chạy phần mềm trái phép trên máy tính mà nạn nhân không hề hay biết.
Nguồn: Firefoxy
Có công phát hiện ra lỗ hổng mới là Billy Rios, một chuyên gia của hãng bảo mật Verisign. Theo lời Rios thì nó liên quan đến chức năng xử lý địa chỉ URL của Firefox, nơi trước đây cộng đồng bảo mật cũng đã từng khui ra được một lỗ hổng khác.
Tuy đoạn mã khai thác do Rios post lên chỉ có thể được dùng để chạy một phần mềm đã có sẵn bên trong máy tính nạn nhân, song theo giới chuyên gia, lỗ hổng này vẫn rất nguy hiểm nếu lọt vào tay bọn tội phạm.
"Lấy thí dụ, chúng có thể dùng dòng lệnh FTP để ra lệnh cho máy download một file độc từ máy chủ nào đó, sau đó kích hoạt file độc. Khi ấy thì máy tính đã hoàn toàn rơi vào tay chúng".
Hoặc cũng có thể bọn tội phạm sẽ lừa cho nạn nhân click vào một đường link độc nào đó, Rios khuyến cáo.
Liên tiếp lỗi
Có thể nói, tính năng xử lý URL của trình duyệt Firefox đã khiến cho Mozilla đau đầu nhức óc suốt cả tháng nay, sau khi chuyên gia bảo mật Thor Larholm vạch ra rằng sự tương tác giữa IE và Firefox có thể bị lợi dụng để chạy phần mềm trái phép trên PC người dùng.
Cơ chế tấn công như sau: IE sẽ tải một file độc từ Website sau đó gửi sang cho Firefox. Khi ấy, Firefox sẽ chịu trách nhiệm chạy file độc kia.
Ngay sau khi lỗ hổng IE + Firefox được công bố, Microsoft và Mozilla đã lập tức đùn đẩy trách nhiệm cho nhau. Không ai nhận lỗi đó thuộc về sản phẩm của mình, khi Snyder tuyên bố Microsoft nên thay đổi lại các IE chuyển dữ liệu sang cho những ứng dụng khác, còn Microsoft thì khẳng định vấn đề nằm trong bản thân Firefox.
Mozilla dự định phát hành miếng vá cho lỗ hổng IE + Firefox trong phiên bản 2.0.0.6 sắp phát hành. Tuy nhiên, không rõ phiên bản này đã có miếng vá dành cho lỗ hổng mới được Billy Rios phát hiện hay chưa.
Trọng Cầm (Theo PC World)