Firefox phát hành bản vá quan trọng ngăn chặn cuộc tấn công zero-day

Firefox phát hành bản vá lỗ hổng zero-day

Nếu bạn đang sử dụng trình duyệt web Firefox, bạn cần cập nhật lên phiên bản mới nhất ngay bây giờ!

Mozilla vừa mới phát hành phiên bản Firefox 67.0.3 và Firefox ESR 60.7.1 để vá một lỗ hổng zero-day nghiêm trọng trong phần mềm duyệt web vốn bị các hacker khai thác mạnh mẽ trong thực tế.

Samuel Groß, nhà nghiên cứu về an ninh mạng tại Google Project Zero đã phát hiện và báo cáo về một lỗ hổng mới cho phép kẻ tấn công thực thi mã tùy ý từ xa trên các thiết bị chạy các phiên bản Firefox chứa lỗ hổng và kiểm soát hoàn toàn các thiết bị này.

Lỗ hổng CVE-2019-11707

Lỗ hổng mang số hiệu CVE-2019-11707 ảnh hưởng đến tất cả người dùng Firefox trên desktop (chạy hệ điều hành Windows, macOS và Linux) trong khi các phiên bản cho Android, iOS và Amazon Fire TV không bị ảnh hưởng.

Theo một tư vấn an ninh mạng, lỗi này được gắn nhãn là lỗ hổng nhầm lẫn loại (type confusion vulnerability), có thể dẫn đến sự cố có thể khai thác (exploitable crash) do các vấn đề trong Array.pop, xảy ra khi thao tác với các đối tượng JavaScript.

Hiện cả Samuel Groß và Mozilla đều chưa công bố thêm bất kỳ chi tiết kỹ thuật hay PoC nào về lỗ hổng này.

Bên cạnh đó, mặc dù Firefox có chế độ tự động cập nhật và kích hoạt lên phiên bản mới nhất sau mỗi lần khởi động lại thì người dùng vẫn nên chủ động kiểm tra để đảm bảo thiết bị của mình đang chạy phiên bản Firefox 67.0.3 và Firefox (Bản phát hành hỗ trợ mở rộng) 60.7.1 trở lên.

THN