Lỗ hổng trên Mozilla Firefox cho phép sao chép mật khẩu đã lưu mà không cần mật khẩu Master

Lỗ hổng trên Mozilla Firefox lưu mật khẩu

Mozilla đã giải quyết một lỗ hổng bảo mật nghiêm trọng trong trình duyệt Firefox của mình. Lỗ hổng có thể cho phép tiết lộ mật khẩu đã lưu từ trình duyệt. Bất cứ ai có quyền truy cập cục bộ vào hệ thống đều có thể khai thác lỗi Mozilla Firefox này mà không cần mật khẩu Master.

Lỗ hổng trên Mozilla Firefox tiết lộ mật khẩu đã lưu

Một lỗ hổng nghiêm trọng tồn tại trong trình duyệt Mozilla Firefox có thể tiết lộ mật khẩu đã lưu cho kẻ tấn công. Như được trình bày trong tư vấn bảo mật của Mozilla, bất kỳ ai có quyền truy cập vật lý vào thiết bị đều có thể sao chép mật khẩu được lưu trong trình duyệt.

Vấn đề trở nên nghiêm trọng khi việc sao chép mật khẩu khả thi ngay cả khi người dùng đã kích hoạt mật khẩu Master.

Ở điều kiện lý tưởng nhất thì một khi người dùng đã kích hoạt mật khẩu Master, sẽ đồng nghĩa với việc bất cứ ai cũng sẽ không thể truy cập vào hộp thoại ‘Saved Logins’ (đăng nhập đã lưu) khi không nhập lại mật khẩu. Tuy nhiên, lỗ hổng được phát hiện gần đây cho phép bỏ qua tính năng kiểm tra bảo mật này.

Mozilla cho biết mật khẩu được lưu cục bộ có thể được sao chép tới clipboard thông qua mục menu ngữ cảnh ‘copy password’ mà không cần nhập mật khẩu Master, cho phép hacker đánh cắp các mật khẩu đã lưu.

Mozilla đánh giá đây là một lỗi nghiêm trọng trung bình mang số hiệu CVE ID CVE-2019-11733.

Firefox 68.0.2 chứa bản vá lỗ hổng

Với việc phát hành trình duyệt Firefox phiên bản 68.0.2, Mozilla dường như đã sửa lỗi này. Giờ đây, nếu một ai đó có quyền truy cập cục bộ vào trình duyệt cũng không thể xem hoặc sao chép mật khẩu đã lưu mà không nhập mật khẩu Master.

Mozilla cũng đã vá lỗ hổng tương tự trong Firefox ESR với việc phát hành phiên bản Firefox ESR 60.8.2.

Bản sửa lỗi giúp bảo đảm an toàn cho những người dùng đã kích hoạt mật khẩu Master tránh khỏi các mối đe dọa từ các hoạt động trộm cắp mật khẩu tiềm tàng.

Tuy nhiên với những ai chưa kích hoạt mật khẩu Master nhưng vẫn muốn lưu thông tin đăng nhập vào trình duyệt thì vẫn có khả năng phải đối mặt với những rủi ro.

Lý do là bởi tính năng ‘save passwords’ (lưu mật khẩu) của Firefox thường được kích hoạt mặc định nhưng lại không thường gửi lời nhắc (prompt) cho người dùng của mình để thiết lập mật khẩu Master.

Bởi vậy, người dùng Firefox được khuyến nghị nên bật tính năng bảo mật thiết lập mật khẩu Master càng sớm càng tốt, đồng thời bảo vệ thông tin đăng nhập cá nhân tránh khỏi các hoạt động tiết lộ vô tình hoặc cố ý với những người dùng trái phép.

LHN