Firefox 32 ra mắt với các bản vá bảo mật và công nghệ Public Key Pinning

Mozilla đã tung ra phiên bản mới Firefox 32 cho Windows, Linux, Mac và Android. Ngoài một số tính năng mới, phiên bản mới nhất này bao gồm các bản vá lỗ hổng bảo mật và hỗ trợ Public Key Pinning.

Public Key Pinning giúp bảo vệ người dùng chống lại việc kiểu tấn công man-in-the-middle (MitM) và chứng nhận xác thực giả mạo (CAs) bằng cách cho phép các nhà điều hành trang web xác định được chứng chỉ hợp lệ đối với họ, thay vì chấp nhận chứng chỉ có sẵn đi kèm với trình duyệt web.

“Nếu bất kỳ chứng chỉ xác nhận phù hợp và là những chứng chỉ tốt, Firefox sẽ hiển thị biểu tượng khóa bình thường. Khi các chứng chỉ gốc của một trang web không hợp lệ, Firefox sẽ từ chối kết nối” – Sid Stamm, quản lý cấp cao về an ninh và kỹ thuật bảo mật của Mozilla giải thích.”Đây là loại lỗi có thể xảy ra nếu chứng chỉ không hợp lệ. Bằng cách này, Key Pinning  có thể được sử dụng bởi các trang web để thêm một lớp “xác thực máy chủ”  triển khai TLS.”

Danh sách các trang web được Pinned trong Firefox 32 bao gồm Twitter.com và một số tên miền phụ Twitter, các tên miền phụ addons.mozilla Mozilla. {Org, net}, cdn.mozilla. {Org, net}, media.mozilla.com. Với phiên bản tiếp theo của Firefox, Mozilla có kế hoạch bổ sung Google và tên miền phụ khác của Twitter. Trong Firefox 34, công ty này muốn bổ xung tên miền phụ của Firefox là “accounts”, Tor và Dropbox.

Tổng cộng sáu lỗ hổng đã được vá với việc phát hành Firefox 32. Một trong những lỗ hổng nghiêm trọng “use-after-free” đã được báo cáo bởi nhà nghiên cứu bảo mật Regenrecht, sau khi tương tác với các thiết lập định dạng hướng văn bản. Lỗ hổng này có thể được khai thác để thực thi mã lệnh tùy ý. “use-after-free” là lỗ hổng nằm trong khâu quản lý bộ nhớ trong quá trình DOM khi tương tác với nội dung SVG từng được phát hiện bởi Abhishek Arya từ Google Chrome Security Team. Một lỗ hổng với mức độ ảnh hưởng cao truy cập thông qua giao thức “file:” (phiên bản trên Android) và lỗi bộ nhớ không được khởi tạo khi render ảnh động GIF. Một lỗi hổng nữa bắt nguồn từ việc tạo một audio timeline trên Web Audio. Lỗi này dẫn đến việc crash trinh duyệt và cho phép đọc các giá trị ngẫu nhiên từ bộ nhớ.

Trong tháng 7, hệ thống phát hiện phần mềm mã độc trong trình duyệt web đã được mở rộng để quét các tập tin tải về, không chỉ riêng đối với các trang web như trước đây. Trong khi Mozilla đang có nỗ lực đáng kể để giữ cho người sử dụng Firefox an toàn, công ty lại dính dáng đến việc hai lần làm lộ thông tin của hàng chục ngàn nhà phát triển trong tháng vừa qua.

Đọc thêm:

1. Hàng ngàn địa chỉ email, mật khẩu của Mozilla Developer bị lộ
2. Mozilla lại để lộ thông tin người dùng

Securityweek.com