Mới đây, Mozilla Corp vừa đưa ra bản sửa lỗi "nghiêm trọng" cho Firefox khi trình duyệt này chạy các file QuickTime media. Lỗi này được phát hiện và thông báo hồi tuần trước bởi một hacker có tên là Petko Petkov.
Petkov cho rằng lỗi này có khả năng cho phép kẻ tấn công chạy được các đoạn mã độc ở trên máy tính của nạn nhân.
Hôm thứ ba, Mozilla đã khẳng định "Điều này có thể bị lợi dụng để cài đặt các đoạn malware, ăn cắp dữ liệu trong mạng nội bộ hay tồi tệ hơn nữa là sửa đổi nội dung trên máy của nạn nhân".
Bản vá hồi tháng 7 cũng đã đề cập tới kiểu lỗi này, thế nhưng Petkov đã chỉ ra những kẻ tấn công vẫn có thể thực thi các câu lệnh trên máy tính của nạn nhân bằng việc lừa cho nạn nhân mở các file QuickTime media có chứa mã độc.
Thực tế thì cho tới khi Apple đề cập tới vấn đề lỗi ở trong phần mềm QuickTime của hãng, thì người dùng vẫn còn phải đau đầu với lỗi xảy ra, Mozilla cho biết "Những file Quicktime media theo dạng đường dẫn sẽ còn gây phiên hà tới người sử dụng do các cửa sổ dạng popup và hộp thoại cho tới khi vấn đề này được sửa chữa ở trong QuickTime". Biện pháp bảo mật chung là vô hiệu hoá JavaScript cũng không chống lại được lỗi này mặc dù add-on NoScript của Firefox có cung cấp vấn đề bảo vệ.
Window Snyder - người đứng đầu về bảo mật của Mozilla, đã viết trên blog "Petkov đã cung cấp bằng chứng cho thấy những đoạn mã cơ bản có thể dễ dàng chuyển hoá thành một dạng khai thác thông tin, vì vậy người dùng nên quan tâm tới lỗi rất nghiêm trọng này". Trên blog của Petkov cho biết, lỗi này cũng có ảnh hưởng lên trình duyệt IE. Tuy nhiên theo cách bảo mật của IE thì lỗi này ít nghiêm trọng hơn.
Bản cập nhập Firefox 2.0.0.7 đã được đưa ra vào hôm thứ ba chỉ nhằm một mục đích: vá lỗ hổng QuickTime.
Bùi Bình (theo PC World)
Bình luận