Lỗi bảo mật “xuyên táo” IE, Firefox

Hãng bảo mật Secunia vừa phát đi bản tin cảnh báo về một lỗ hổng bảo mật chết người mới trong trình duyệt mã nguồn mở Firefox.

Ban đầu chuyên gia bảo mật Thor Larholm cho rằng lỗ hổng bảo mật nói trên thuộc về trình duyệt Internet Explorer của Microsoft chứ không phải là Firefox. Tuy nhiên những nghiên cứu sâu hơn đã cho kết quả ngược lại.

Secunia cho biết lỗ hổng bảo mật nói trên bắt nguồn từ hàm xử lý URI "firefoxurl://". Lỗi này có thể bị lợi dụng để điều khiển Firefox thực thi một số lệnh nhị phân nhất định.

Đặc biệt trên một hệ thống có cài đặt cả hai loại trình duyệt Internet Explorer và Firefox thì khả năng bị tấn công vẫn có thể xảy ra. Khi người dùng IE để truy cập vào một trang web độc hại các thông số hàm xử lý URI cũng vẫn có thể được tự động chuyển sang vận hành trên Firefox mà không hề cần bất kỳ sự can thiệp nào từ phía người dùng.

Secunia xác nhận phiên bản Firefox 2.0.0.4 cài đặt đầy đủ các bản vá cũng vẫn mắc lỗi URI. Các phiên bản khác cũng có thể mắc lỗi.

Hoàng Dũng