Mozilla phát hành Firefox 68 vá lỗ hổng tồn tại 17 năm và nhiều lỗ hổng khác

Mozilla phát hành Firefox 68

Mới đây, Mozilla đã chính thức phát hành phiên bản trình duyệt Firefox 68 chứa nhiều bản cập nhật bảo mật quan trọng.

Phiên bản cập nhật mới này không chỉ mang đến các bản sửa lỗi bảo mật thông thường mà còn cung cấp tính năng chặn các phần mềm đào tiền điện tử (cryptominer) và theo dõi người dùng (fingerprinter).

Firefox 68 vá lỗi trộm cắp dữ liệu cục bộ

Lỗ hổng đáng chú ý nhất được vá trong phiên bản Firefox 68 là một lỗ hổng cũ có thể cho phép các hacker đánh cắp tệp trong thư mục mở tập tin HTML.

Trong suốt 17 năm qua, đã có rất nhiều lần các nhà nghiên cứu thông tin cho Mozilla về lỗ hổng tồn tại tuy nhiên phía công ty vẫn không có bất kỳ động thái nào về việc vá lỗ hổng này. Cho tới tận gần đây khi nhà nghiên cứu Barak Tawily công khai tiết lộ các chi tiết về lỗ hổng thì Mozilla mới chính thức đưa ra bản vá trong phiên bản Firefox 68.  

Cuối cùng thì sau rất nhiều năm, Mozilla đã thừa nhận lỗi này và xác định nó là CVE-2019-11730 (mức độ nghiêm trọng trung bình), đồng thời phát hành bản vá cho nó.  

Trong bản tư vấn bảo mật mới công bố, Mozilla cho biết lỗ hổng tồn tại khi người dùng mở tệp HTML được lưu cục bộ. Tệp này có thể sử dụng file: URIs để truy cập các tệp khác trong cùng thư mục hoặc trong các thư mục con nếu hacker nắm được hoặc đoán biết được tên của chúng. API Fetch sau đó có thể được sử dụng để đọc nội dung của bất kỳ tệp nào được lưu trữ trong các thư mục này và thậm chí có thể tải chúng lên máy chủ.

Bên canh đó, một nhà nghiên cứu khác mang tên Luigi Gubello cũng từng mô phỏng cách thức khai thác lỗ hổng này thông qua các HTML độc hại.

Luigi cho biết nếu một tệp đính kèm HTML độc hại được gửi đến người dùng thông qua một ứng dụng nhắn tin của Android và người dùng mở tệp đính kèm đó trong Firefox thì các hacker thậm chí có thể đọc được các tệp đính kèm mà nạn nhân nhận được từ những người khác. Nguyên nhân là do các ứng dụng có thể dự đoán mẫu cho các tên tệp được lưu cục bộ.

Các bản sửa lỗi bảo mật khác trong Firefox

Ngoài bản sửa lỗi cho lỗ hổng lâu năm kể trên, Mozilla còn cung cấp bản vá cho một số lỗ hổng khác nằm trong trình duyệt Firefox, bao gồm 4 lỗ hổng mức độ nghiêm trọng cao, 9 lỗ hổng mức độ nghiêm trọng trung bình và 5 lỗ hổng mức độ nghiêm trọng thấp.

Ngoài ra, Mozilla cũng đã sửa một số lỗi an toàn bộ nhớ quan trọng như CVE-2019-11710CVE-2019-11709 (Lỗ hổng ảnh hưởng đến Firefox ESR). Firefox ESR cũng được cập nhật lên phiên bản 60.8 chứa các bản vá lỗ hổng tương tự.

Bảo mật tốt hơn với các biện pháp bảo vệ chống cryptomining và fingerprinting

Bên cạnh việc sửa lỗi bảo mật, Mozilla cũng giới thiệu các tính năng bảo mật mới trong phiên bản cập nhật của trình duyệt Firefox.

Giờ đây, Mozilla cung cấp cho người dùng quyền kiểm soát để chặn các công cụ khai thác tiền điện tử (cryptomining) và theo dõi (fingerprinting). Mặc dù tính năng chặn nội dung đã có trong Firefox 67, nhưng điểm khác biệt trong Firefox 68 là việc kiểm soát các tính năng này sẽ nằm trong các thiết đặt riêng biệt

Người dùng có thể tìm thấy các tùy chọn này trong tab ‘Quyền riêng tư & Bảo mật’ (Privacy & Security) trong cài đặt ‘Tùy chỉnh’ (Custom).

Firefox 68 settings custom

Trong khi đó, các thiết lập này thường hiển thi mặc định trong phần cài đặt tùy chọn ‘Strict’.

Firefox 68 settings strict

Firefox cũng đã đề cập tới những thay đổi này trong blog mới được đăng tải. Firefox cho biết trong một số trường hợp, việc chặn nội dung này làm cho các trang tải nhanh hơn, nhưng có thể ảnh hưởng đến chức năng của trang.

Tuy nhiên cũng rất dễ dàng cho người dùng để vô hiệu hóa tính năng chặn trên các trang web mà họ tin cậy. Giờ đây, người dùng hiện có quyền tự do quản lý các cài đặt này theo sở thích và ưu tiên cá nhân của mình.

LHN