Firefox 77, Tor Browser 9.5 ra mắt bản vá, cải tiến bảo mật
An toàn thông tin - Ngày đăng : 16:10, 10/06/2020
Trình duyệt của Mozilla đã có tổng cộng 8 bản vá bảo mật, trong đó 5 bản vá xử lý các lỗ hổng có mức nghiêm trọng cao.
Bản vá quan trọng nhất trong số này là bản vá lỗ hổng mang số hiệu CVE-2020-12399, tấn công vào các chữ ký DSA trên thư viện NSS. Do những khác biệt về ấn định thời gian khi thực hiện chữ ký DSA, tin tặc có thể phát động một cuộc tấn công và làm lộ những khóa riêng.
Một lỗ hổng có mức rủi ro cao khác đã được xử lý trong bản phát hành này là lỗ hổng trong SharedWorkerService, có số hiệu CVE-2020-12405, một lỗ hổng use-after-free (cho phép kẻ xấu tấn công sau khi người dùng tương tác với phần mềm độc hại), được kích hoạt khi truy nhập vào trang độc hại. Ngoài ra, Mozilla còn vá một lỗ hổng mang số hiệu CVE-2020-12406 gây sự nhầm lẫn kiểu giữa JavaScript với NativeTypes
Ngoài ra, Firefox 77 đã xử lý lỗi rò rỉ bộ xử lý đồ họa GPU khi sử dụng hình ảnh viền CSS. Hai lỗ hổng nghiêm trọng mức độ thấp khác liên quan đến vấn đề giả mạo URL cũng được vá.
Mozilla còn xử lý một loạt các lỗ hổng về an toàn bộ nhớ có mức nghiêm trọng cao trong cả Firefox 77 và Firefox ESR 68.9.
Ngoài các bản vá bảo mật trong Firefox ESR 68.9 (xử lý các lỗ hổng có tính rủi ro cao đã nói ở trên), bản phát hành Tor mới nhất mang đến một số cái tiến bảo mật khác, như tùy chọn để dành riêng cho phiên bản .onion của một trang web đã truy nhập, nơi tồn tại hoặc có khả năng quản trị các dịch vụ để cài đặt một cặp khóa nhằm kiểm soát truy nhập và xác thực các trang web của họ
Bắt đầu với Tor Browser 9.5, nếu Onion Location được bật, người dùng sẽ được thông báo khi một website cũng có địa chỉ .onion và sẽ được cung cấp tùy chọn để thay thế. Hơn nữa, người sử dụng có thể thiết lập trình duyệt để luôn luôn sử dụng địa chỉ .onion khi khả dụng.
Với những website có các khóa xác thực được sử dụng như một lớp bảo mật bổ sung, người dùng trình duyệt Tor có thể lưu các khóa đó trong trình duyệt của mình và có thể sử dụng about:preferences#privacy để quản lý chúng trong phần xác thực các dịch vụ của Onion.
Bản phát hành mới nhất của trình duyệt Tor cũng đi kèm các chỉ số bảo mật đã cập nhật để người dùng dễ hiểu hơn khi họ truy nhập các trang web không được bảo mật cũng như với các thông báo về lỗi được cập nhật của các dịch vụ onion để người dùng hiểu rõ tại sao họ không thể kết nối.
Với việc hợp tác với tổ chức phi lợi nhuận Tự do báo chí (FPF) và HTTPS Everywhere của Tổ chức biên giới điện tử (EFF), Tor đang nghiên cứu và triển khai các tên dễ nhớ cho các địa chỉ dịch vụ của phần mềm SecureDrop.
Ngoài ra, trình duyệt cũng bao gồm một loạt các bản vá và cải tiến khác cho tất cả các hệ điều hành hỗ trợ Windows, macOS, Linux và Android.