Mozilla vá 16 lỗ hổng trong Firefox 3.5.4

Quản trị mạng - Hôm nay Mozilla đã vá 16 lỗ hổng trong ứng dụng trình duyệt Firefox (trong đó 11 lỗ hổng được đánh giá ở mức critical – rất nguy hiểm) khi cập nhật ứng dụng trình duyệt mã nguồn mở này lên phiên bản 3.5.4.

11 lỗ hổng được đánh giá ở mức critical của phiên bản Firefox 3.5 nằm trong nhiều thành phần khác nhau, bao gồm Web Worker Call, công cụ phân tách bản đồ mầu GIF, công cụ chuyển đổi chuỗi thành kí tự số, ba thư viện đa phương tiện nhóm ba, và các công cụ trình duyệt và JavaScript.

Trong một số báo cáo về những lỗ hổng trầm trọng này, Mozilla nói rằng “Một số trong những lỗ hổng này cho thấy bằng chứng của lỗi bộ nhớ trong vài tình huống nhất định và chúng tôi cho rằng có vài lỗi trong số này có thể bị tin tặc khai thác để chạy mã độc.”

Phiên bản Firefox 3.0, được phát hành trong mùa hè năm ngoái và sẽ bị ngừng hỗ trợ bảo mật trong tháng 1 năm 2010, cũng được cập nhật vào hôm nay với bản cập nhật 3.0.15. Phiên bản Firefox 3.0.14 xuất hiện 9 lỗ hổng, trong số đó có 4 lỗi được đánh giá ở mức critical.

Ba trong 4 bốn lỗ hổng trên làm cho Firefox bị sập khi đang trình duyệt, trong khi đó lỗ hổng thứ tư tác động tới công cụ TraceMonkey JavaScript được giới thiệu trong phiên bản Firefox 3.5. Mozilla khuyến cáo người dùng nên tắt bỏ JavaScript trong Firefox nếu họ không thể hay không muốn sử dụng bản cập nhật. Trong số 4 lỗ hổng này chỉ có một lỗ hổng có tác động tới phiên bản Firefox 3.0.

Trong tổng số 16 lỗ hổng, Mozilla đánh giá 3 lỗ hổng ở mức moderate – trung bình (mức thứ hai trong hệ thống đánh giá gồm bốn mức), và hai lỗ hổng ở mức low – thấp (mức thấp nhất trong hệ thống đánh giá).

Bản cập nhật được Mozilla phát hành ngày hôm nay - chỉ một ngày trước khi phiên bản thử nghiệm của Firefox 3.6 được giới thiệu tới người dùng, một bản cập nhật khác hiện được dự kiến tung ra vào cuối năm nay. Trước đây Mozilla dự kiến tung ra phiên bản Firefox 3.6 Beta vào ngày 13 tháng 10, nhưng một số lỗi phát sinh đã làm cho kế hoạch của Mozilla không thực hiện được.

Phiên bản Firefox 3.6 sẽ là bản nâng cấp đầu tiên trong hai bản nâng cấp nhỏ mà Mozilla dự kiến phát hành muộn nhất là vào giữa năm 2010. Tháng trước Mozilla đã đẩy nhanh quá trình phát triển để giới thiệu những tính năng hay những cải tiến mới tới người dùng sớm hơn, và để tăng sức cạnh tranh trên thị trường trình duyệt.

Mozilla vẫn đang nghiên cứu phương pháp giới thiệu Firefox 3.6 tới người dùng khi phiên bản chính thức được tung ra. Một số người, bao gồm giám đốc của Firefox Mike Beltzner, thiên về một cơ chế giống như bản cập nhật bảo mật, trong khi đó những người khác lại muốn sử dụng một phương pháp rõ ràng hơn, kiểu như những đề nghị nâng cấp mà Mozilla đã làm như trước đây.

Trong một bài viết trên diễn đàn mozilla.dev.planning, Beltzner cho biết “Theo như dự kiến, vào mùa hè tới Firefox 3.6 sẽ là một phiên bản quan trọng với những cải tiến về bảo mật, sự ổn định, tốc độ và công suất, với giao diện người dùng không có gì thay đổi so với phiên bản Firefox 3.5. Do đó tôi nghĩ rằng chúng ta nên xem nó như một bản cập nhật nhỏ để mở rộng định nghĩa về những loại bản cập nhật mà chúng ta có thể cung cấp với cơ chế đó.”

Công ty Net Applications cho biết trong tháng vừa qua Firefox chiếm gần 24% trong thị trường trình duyệt toàn cầu.

Người dùng Windows, Mac OS X và Linux có thể tải phiên bản Firefox 3.5.4 và 3.0.15 trực tiếp tại trang Web của Mozilla (Mozilla.com). Tuy nhiên, nếu đang sử dụng Firefox thì người dùng có thể sử dụng công cụ cập nhật, hay đợi cho đến khi thông báo cập nhật tự động trong 48 giờ tới.