Tin An Ninh Mạng

Mozilla vá lỗi chiếm quyền xử lý HTML trên Firefox

1489939944shutterstock_hacker.jpg
Mozilla đã vá một lỗi an ninh khó chịu trong Firefox, ảnh hưởng đến các phiên bản 56, 57 và 58.

Lỗi này được chấm 8.8 điểm theo thang điểm CVSS, có nghĩa là nếu kẻ tấn công có thể khiến người dùng mở một tài liệu hoặc liên kết độc hại thì có thể thực thi mã từ xa – cho phép cài đặt và chạy phần mềm gián điệp, ransomware và các phần mềm độc hại khác.

{

}

mofox.png

Cisco giải thích: “Lỗ hổng là do việc không thanh lọc các đoạn mã HTML trong các tài liệu đặc quyền chrome bởi phần mềm bị ảnh hưởng… Khai thác thành công có thể cho phép kẻ tấn công thực thi mã tùy ý với các đặc quyền của người dùng. Nếu người dùng có đặc quyền nâng cao, kẻ tấn công có thể phá hoại hoàn toàn hệ thống”.

Lưu ý, đây không phải là chrome như trong Google Chrome, mà chrome này là tên một thành phần của công cụ Firefox.

Các phiên bản bị ảnh hưởng là: 56 (.0, .0.1, .0.2), 57 (.0, .0.1, .0.2, .0.3, .0.4) và 58 (.0). Lỗi này không có trong Firefox dành cho Android hoặc Firefox 52 ESR. Bản vá có trong Firefox 58.0.1..

Trong trình theo dõi lỗi của Firefox, lập trình viên Kris Maglione giải thích rằng bản vá thanh lọc các đoạn HTML.

Maglione lưu ý rằng vấn đề phát sinh vì không thể chặn các kịch bản nội tuyến: “Nguy cơ XSS trong tài liệu chrome cao hơn nhiều so với trong nội dung web. Thật không may, hiện tại chúng tôi dựa vào JS nội tuyến quá nhiều trong tài liệu XUL tĩnh đến mức điều đó không thực sự khả thi trong ngắn hạn”.

Theo The Register

Đăng ký liền tay Nhận Ngay Bài Mới

Subscribe ngay

Cám ơn bạn đã đăng ký !

Lỗi đăng ký !

Add Comment

Click here to post a comment

Đăng ký liền tay
Nhận Ngay Bài Mới

Subscribe ngay

Cám ơn bạn đã đăng ký !

Lỗi đăng ký !