Phát hành phiên bản Firefox 67.0.4 vá lỗ hổng 0-Day thứ hai trong vòng một tuần

Đã đến lúc cập nhật trình duyệt Firefox của bạn một lần nữa, chính xác là lần thứ hai trong tuần này.

Sau khi phát hành phiên bản Firefox 67.0.3 vá một lỗ hổng nghiêm trọng bị khai thác mạnh mẽ vào đầu tuần này, Mozilla lại tiếp tục cảnh báo hàng triệu người dùng về lỗ hổng zero-day thứ hai cũng đang bị các hacker tăng cường khai thác trong thực tế.

Vấn đề mới được vá (CVE-2019-11708) là một lỗ hổng “sandbox escape”, nếu bị khai thác kết hợp cùng lỗ hổng “type confusion” đã vá trước đó (CVE-2019-11707), có thể cho phép kẻ tấn công từ xa thực thi mã tùy ý trên máy tính của nạn nhân chỉ bằng cách thuyết phục họ truy cập một trang web độc hại.

Hộp cát trình duyệt (browser sandboxing) là một cơ chế bảo mật giữ cho các quy trình của bên thứ ba bị cô lập và giới hạn trong trình duyệt, ngăn chúng làm hỏng các bộ phận nhạy cảm khác trong hệ điều hành của máy tính.

Theo tư vấn bảo mật, việc kiểm tra không đầy đủ các tham số được truyền với tin nhắn Prompt:Open IPC giữa các tiến trình con và cha mẹ có thể dẫn đến việc tiến trình cha mẹ không chứa hộp cát (non-sandboxed) mở nội dung web được chọn bởi quy trình con bị xâm phạm.
Lỗ hổng Zero-day bị khai thác trong tự nhiên

Mozilla đã nhận thức được lỗ hổng đầu tiên kể từ tháng 4 khi nhận được báo cáo từ một nhà nghiên cứu thuộc nhóm Google Project Zero, tuy nhiên, lỗ hổng zero-day thứ hai này mới chỉ được biết đến khi công ty phát hiện ra các cuộc tấn công trong tự nhiên vào tuần trước khi các hacker bắt đầu khai thác cả hai lỗ hổng để nhắm vào các nhân viên Nền tảng Coinbase và người dùng của các công ty tiền điện tử (cryptocurrency firms) khác.

Mới đây, chuyên gia bảo mật macOS Patrick Wardle cũng đã công bố một báo cáo tiết lộ rằng một chiến dịch riêng biệt chống lại người dùng tiền điện tử (cryptocurrency users) cũng đang khai thác lỗ hổng 0-day tương tự như trên Firefox để cài đặt phần mềm độc hại macOS trên các máy tính được nhắm mục tiêu.

Cho tới nay, vẫn chưa rõ những kẻ tấn công liệu đã phát hiện ra lỗ hổng đầu tiên tại thời điểm nó được báo cáo tới Mozilla hay thu được bất cứ thông tin báo cáo lỗi phân loại nào khác hay không.
Cài đặt các bản vá Firefox để ngăn chặn các cuộc tấn công mạng

Dẫu sao thì hiện tại Mozilla đã phát hành phiên bản Firefox 67.0.4 và Firefox ESR 60.7.2 nhằm giải quyết cả hai lỗ hổng kể trên, nhằm ngăn chặn kẻ tấn công kiểm soát hệ thống của người dùng từ xa.

Mặc dù Firefox có cơ chế tự động cài đặt các bản cập nhật mới nhất, tuy nhiên người dùng vẫn được khuyến khích kiểm tra để đảm bảo chắc chắn rằng thiết bị của mình đang chạy Firefox phiên bản 67.0.4 trở lên.

Tương tự như lỗ hổng đầu tiên, Tor Project mới đây cũng vừa phát hành bản cập nhật thứ hai (Tor Browser 8.5.3) cho trình duyệt web riêng tư của mình trong tuần này để vá lỗ hổng tương tự như trên Firefox.

You May Also Like

About the Author: admin

Leave a Reply

Your email address will not be published. Required fields are marked *