Lỗ hổng cho phép khai thác từ xa trên trình duyệt Firefox

By | 10:56 am | 06/02/2018

firefox-flaw

Mozilla vừa phát hành bản cập nhật mới cho trình duyệt Firefox để vá một lỗ hổng nghiêm trọng cho phép kẻ tấn công từ xa thực thi mã lệnh độc hại trên các máy tính sử dụng phiên bản bị ảnh hưởng của trình duyệt này.

Bản cập nhật được đưa ra chỉ một tuần sau khi Firefox Quantum ra mắt, với các tính năng mới như nâng cấp engine đồ họa, cải thiện hiệu năng và vá hơn 30 lỗ hổng.

Theo báo cáo của Cisco, Firefox 58.0.1 gặp phải lỗ hổng ‘thực thi mã lệnh tùy ý’ bắt nguồn từ các đoạn mã HTML ‘thiếu vệ sinh’ trong các tài liệu đặc quyền của chrome (giao diện người dùng của trình duyệt).

Tin tặc có thể khai thác lỗ hổng này (CVE-2018-5124) để thực thi lệnh tùy ý từ xa trên máy tính nạn nhân bằng cách lừa họ truy cập vào link hoặc mở tệp độc hại. Từ đó có thể cho phép kẻ tấn công cài đặt chương trình, tạo tài khoản mới với đầy đủ quyền, và xem, sửa, xóa dữ liệu trong máy nạn nhân.

Tuy nhiên, nếu trình duyệt được cấu hình có đặc quyền thấp trên hệ thống, thì việc khai thác sẽ ít nguy hiểm hơn đối với người dùng.

Các phiên bản Firefox bị ảnh hưởng bao gồm 56 (.0, .0.1, .0.2), 57 (.0, .0.1, .0.2, .0.3, .0.4), và 58 (.0). Bạn có thể tải bản mới nhất (58.2.1) tại đây.

Lỗ hổng được phát hiện bởi người phát triển Mozilla, Johann Hofmann, không ảnh hưởng tới trình duyệt Firefox trên Android và Firefox 52 ESR.

Người dùng được khuyến nghị cập nhật trình duyệt trước khi kẻ tấn công có thể khai thác được lỗ hổng này, và tránh mở các đường link đáng ngờ trong email hoặc tin nhắn.

Người quản trị được khuyến nghị sử dụng các tài khoản đặc quyền thấp khi duyệt Internet và giám sát hệ thống.