Các bản cập nhật Firefox sẽ vá lỗi CSRF

Firefox 3.6.14, 3.5.17 phát hành vào ngày 1/3 tới đây sẽ sửa lỗi CSRF (cross-site request forgery - giả mạo yêu cầu liên trang) có thể bị khai thác thông qua Flash.

Cuối ngày 23/2/2011, Mozilla cho biết sẽ tung ra các bản cập nhật bảo mật cho Firefox 3.5 (Firefox 3.5.17) và Firefox 3.6 (Firefox 3.6.14) vào tuần tới, trong đó bao gồm một miếng vá cho lỗi có thể bị khai thác bằng cách sử dụng file Flash “có độc”.

Ban đầu, dự kiến các bản cập nhật bảo mật này sẽ phát hành vào ngày 14/2/2011, nhưng sau đó bị hoãn khi các nhà phát triển Mozilla điều tra lỗi ảnh hưởng tới một số người sử dụng các bản beta. Theo Mozilla, lỗi khiến một số bản copy của các bản cập nhật liên tục gặp sự cố. Sau đó, Mozilla đã phải dừng tung ra các bản cập nhật bảo mật để kiểm tra lại các bản beta.

Cũng khoảng thời gian đó, một vấn đề khác - lỗi CSRF - bị phát hiện và Mozilla cần phải vá. Lỗ hổng trong Firefox, nhưng Adobe có liên quan vì có thể khai thác lỗ hổng này bằng cách sử dụng file Flash “dị hình” (malformed Flash file).

Theo các nhà nghiên cứu bảo mật, lỗi CSRF có thể bị khai thác bằng cách “kết hợp một số plug-in trình duyệt và chuyển hướng HTTP”. Ngoài Firefox (bao gồm cả một bản Firefox 4 beta trước đây), lỗi CSRF còn ảnh hưởng tới một số trình duyệt khác, bao gồm Chrome (của Google) và Safari (của Apple) trên cả Windows và Mac OS.

Mozilla sẽ vá lỗ hổng CSRF trong cả Firefox 3.5.17 và Firefox 3.6.14 khi chúng được phát hành vào ngày 1/3/2011, một phát ngôn viên của công ty xác nhận.

Tags: An toàn thông tin, Bảo mật, Firefox, Mozilla