Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Mozilla sẽ vá lỗ hổng tương tự lỗ hổng trên Tor vào thứ 3 tới
Đại diện Mozilla cho biết hãng sẽ phát hành bản cập nhật cho Firefox vào thứ ba tới, vá lỗ hổng thực thi mã từ xa trên đa nền tảng. Lỗ hổng tương tự trên trình duyệt ẩn danh Tor cũng vừa được vá hôm thứ 6.
Trong cảnh báo đại diện Tor đưa ra, lỗ hổng cho phép tin tặc ở vị trí Man-in-the-Middle và có chứng thư giả mạo có thể mạo danh máy chủ của Mozilla. Từ đó, kẻ tấn công có thể phát tán một bản cập nhật độc hại cho NoScript hoặc nhiều tiện ích mở rộng Firefox khác được cài đặt trên máy tính nạn nhân. Chứng thư giả phải được xác nhận bởi một trong vài trăm cơ quan chứng nhận (CA) đáng tin cậy trên Firefox.
Thông thường sẽ khá khó khăn để hack hoặc lừa một CA cấp chứng thư cho addons.mozilla.org. Tuy nhiên, điều này là trong tầm tay đối với các hacker được tài trợ bởi chính phủ. Một ví dụ năm 2011, hacker có liên hệ với Iran đã xâm nhập CA DigiNotar (Hà Lan) và giả mạo chứng thư trong hơn 200 địa chỉ, bao gồm Gmail và các tên miền phụ add-on của Mozilla.
Trong cảnh báo Tor đưa ra hôm thứ 6, hãng khuyến cáo người dùng cài đặt bản cập nhật sớm nhất có thể. Ngay sau thông báo đó, các đại diện Mozilla cho biết họ đã lên kế hoạch khắc phục vấn đề vào thứ 3 tới.
Cho tới khi có bản vá, người dùng Firefox lo ngại bị tấn công có thể cân nhắc dùng trình duyệt khác thay thế hoặc một biện pháp khác là cấu hình Firefox tắt cập nhật extension tự động.
Trong cảnh báo đại diện Tor đưa ra, lỗ hổng cho phép tin tặc ở vị trí Man-in-the-Middle và có chứng thư giả mạo có thể mạo danh máy chủ của Mozilla. Từ đó, kẻ tấn công có thể phát tán một bản cập nhật độc hại cho NoScript hoặc nhiều tiện ích mở rộng Firefox khác được cài đặt trên máy tính nạn nhân. Chứng thư giả phải được xác nhận bởi một trong vài trăm cơ quan chứng nhận (CA) đáng tin cậy trên Firefox.
Thông thường sẽ khá khó khăn để hack hoặc lừa một CA cấp chứng thư cho addons.mozilla.org. Tuy nhiên, điều này là trong tầm tay đối với các hacker được tài trợ bởi chính phủ. Một ví dụ năm 2011, hacker có liên hệ với Iran đã xâm nhập CA DigiNotar (Hà Lan) và giả mạo chứng thư trong hơn 200 địa chỉ, bao gồm Gmail và các tên miền phụ add-on của Mozilla.
Trong cảnh báo Tor đưa ra hôm thứ 6, hãng khuyến cáo người dùng cài đặt bản cập nhật sớm nhất có thể. Ngay sau thông báo đó, các đại diện Mozilla cho biết họ đã lên kế hoạch khắc phục vấn đề vào thứ 3 tới.
Cho tới khi có bản vá, người dùng Firefox lo ngại bị tấn công có thể cân nhắc dùng trình duyệt khác thay thế hoặc một biện pháp khác là cấu hình Firefox tắt cập nhật extension tự động.
Nguồn: Arstechnica