Chú ý! Bạn có đang sử dụng Firefox làm phần mềm duyệt web trên các hệ thống Windows, Linux hoặc Mac không?
Nếu có, bạn nên cập nhật ngay trình duyệt web Firefox của mình lên phiên bản mới nhất có sẵn trên trang web của Mozilla.
Vì sao lại vội vàng như vậy? Mozilla trước đó đã phát hành phiên bản Firefox 72.0.1 và Firefox ESR 68.4.1 để vá lỗ hổng zero-day nghiêm trọng trong phần mềm duyệt web mà một nhóm tin tặc không được tiết lộ đang tích cực khai thác.
Được theo dõi là ‘ CVE-2019-17026 ,’ lỗi này là một ‘lỗ hổng nhầm lẫn loại’ nghiêm trọng, nằm trong trình biên dịch IonMonkey (JIT) của công cụ JavaScript của Mozilla.
Nói chung, lỗ hổng nhầm lẫn kiểu xảy ra khi mã không xác minh đối tượng nào được chuyển đến và sử dụng nó một cách mù quáng mà không kiểm tra loại của nó, cho phép kẻ tấn công đánh sập ứng dụng hoặc thực thi mã.
Không tiết lộ chi tiết về lỗ hổng bảo mật và bất kỳ chi tiết nào về các cuộc tấn công mạng tiềm năng đang diễn ra, Mozilla cho biết , “thông tin bí danh không chính xác trong trình biên dịch JIT của IonMonkey để thiết lập các thành phần mảng có thể dẫn đến nhầm lẫn kiểu.”
Điều đó có nghĩa là, vấn đề trong thành phần công cụ JavaScript dễ bị tấn công có thể bị kẻ tấn công từ xa khai thác chỉ bằng cách lừa người dùng không nghi ngờ truy cập vào một trang web được tạo thủ công độc hại để thực thi mã tùy ý trên hệ thống trong ngữ cảnh của ứng dụng.
Lỗ hổng đã được báo cáo cho Mozilla bởi các nhà nghiên cứu an ninh mạng tại Qihoo 360 ATA, người vẫn chưa công bố bất kỳ thông tin nào về cuộc điều tra, phát hiện và khai thác của họ.
Mặc dù Firefox, theo mặc định, tự động cài đặt các bản cập nhật khi chúng có sẵn và kích hoạt phiên bản mới sau khi khởi động lại, bạn luôn có thể thực hiện cập nhật thủ công bằng chức năng tích hợp bằng cách điều hướng đến Menu> Trợ giúp> Giới thiệu về Mozilla Firefox.