Vào hôm thứ 6 Mozilla cho biết bản cập nhật tới, theo như kế
hoạch được phát hành vào ngày mai dành cho Firefox, sẽ hướng vào những
phiên bản trước đây của Flash Player, mục tiêu thường bị tin tặc tấn
công.
Mozilla dự định sẽ sử dụng sản phẩm của các nhà cung cấp trình duyệt mã
nguồn mở để thay thế các plug-in “lỗi thời” và ẩn chứa nhiều hiểm họa
của các nhà cung cấp như Apple, Adobe, Microsoft và Sun.
Chuyên
gia bảo mật Wolfgang Kandek, trưởng phòng công nghệ hãng bảo mật
Qualys, đã ủng hộ kế hoạch trên của Mozilla khi nói rằng “Đây là
biện pháp hữu hiệu nhất để cải thiện khả năng bảo mật của các ứng dụng
trình duyệt Web. Flash thường được tin tặc sử dụng để khai thác máy
trạm, và thật không may nó lại rất khó cập nhật. Ngoài ra IE và mọi
chương trình trình duyệt khác cũng cần được cập nhật.”
Phiên bản Firefox 3.5.3 (bản cập nhật bảo mật mới nhất cho Firefox 3.5)
và 3.0.14 (bản cập nhật mới nhất của Firefox 3.0 được phát hành trong
năm 2008) dự tính sẽ được tung ra vào ngày mai – ngày 08/09. Sau khi
cài đặt một trong hai bản cập nhật này, người dùng Firefox sẽ thấy một
thông báo You should update Adobe Flash right now
(bạn nên cập nhật Adobe Flash ngay lập tức) hiển thị trên màn hình nếu
hệ thống đang sử dụng phiên bản cũ của Flash Player. Nội dung của thông
báo này như sau: Firefox is up to date, but your current
version of Flash can cause security and stability issues. Please
install the free update as soon as possible(Firefox
đã được cập nhật nhưng phiên bản Flash Player đang được sử dụng trên hệ
thống có thể gây ra những vấn đề về bảo mật và làm giảm sự ổn định của
Firefox. Bạn hãy cài đặt bản cập nhật miễn phí này càng sớm càng tốt).
Trên thông báo này cũng sẽ có một liên kết tới trang download chứa phiên bản mới nhất của plug-in Flash Player.
Johnathan Nightingale, một thành viên trong nhóm bảo mật của Firefox, cho biết “Hiện
nay, chúng tôi đang dành sự quan tâm cho Adobe Flash Player bởi vì sự
phổ dụng và vì một số kết quả nghiên cứu mới đây cho thấy hiện có
khoảng hơn 80% người dùng đang sử dụng phiên bản Adobe Flash quá hạn.”
Nightingale cũng đã nhắc đến bản báo cáo hồi giữa tháng 8 của công ty
bảo mật Trusteer có trụ sở tại thành phố New York. Bản báo cáo này cho
biết gần 2 triệu trong số 2,5 triệu máy PC được dịch vụ bảo mật của
công ty này kiểm tra vẫn chưa cập nhật Flash dù Adobe đã tung ra bản vá
2 tuần trước đó.
Những người dùng hệ điều hành mới Snow Leopard của Apple sẽ được kiểm
tra plug-in mới của Firefox sớm nhất vì Apple đã sử dụng phiên bản
Flash quá hạn 1 tháng trong Snow Leopard, và thậm chí phiên bản mà hệ
điều hành mới này đang sử dụng đã bị xuống cấp vì đã cập nhật phiên bản
chứa nhiều lỗ hổng của Flash.
Kể từ ngày mai, người dùng Firefox trên Snow Leopard sẽ nhận được thông báo trên sau khi cập nhật.
Nighttingale cho biết thêm Mozilla đang lên kế hoạch mở rộng phạm vi kiểm tra plug-in. Ông nói “Mozilla
sẽ hợp tác với nhiều nhà cung cấp pug-in khác để tiến hành những cuộc
kiểm tra tương tự cho những sản phẩm của họ. Việc phần mềm luôn được
cập nhật cũng là một biện pháp bảo mật hiệu quả khi truy cập Internet,
và Mozilla sẽ tiếp tục nghiên cứu để đơn giản hóa quá trình này.”
Ông Christopher Blizzard, người từng tham gia sáng lập Mozilla, cũng đã
phân tích chi tiết những gì Mozilla sẽ thực hiện trong thời gian tới.
Blizzard nói, vào cuối tháng này Mozilla sẽ tạo một trang mới trên
website cho phép người dùng truy cập và kiểm tra trạng thái cập nhật
của những plug-in khác. Phiên bản Firefox 3.6 (sẽ được tung ra vào đầu
tháng 11 năm nay thay vì năm 2010 như dự định ban đầu) sẽ sử dụng các
phiên bản plug-in mới hơn theo phương pháp hiện đang được sử dụng để
kiểm tra trạng thái cập nhật cho các phần mở rộng hay add-on của
Firefox.
Blizzard cam kết “Chúng tôi sẽ cố gắng thực hiện điều này để
bạn có thể nâng cấp plug-in qua dịch vụ plug-in hiện đang được chúng
tôi sử dụng trong các quá trình cài đặt .”
So với những kế hoạch được đăng trên website của công ty thì những tham
vọng của Mozilla còn mớn hơn rất nhiều. Firefox 3.6 sẽ thông báo cho
người dùng đang sử dụng plug-in quá hạn khi họ truy cập vào một trang
yêu cầu sử dụng plug-in mới, khi khởi chạy Firefox hay khi Mozilla cập
nhật định kỳ danh sách plu-in của Firefox.
Phiên bản Firefox 3.6 ban đầu sẽ tập trung vào việc kiểm tra các phiên
bản quá hạn của những plug-in đang được sử dụng rộng rãi, như QuickTime
của Apple; Flash, Shockwave và Reader của Adobe; Silverlight của
Microsoft và Java của Sun.
Flash là mục tiêu chình mà tin tặc khai thác để khai thác những lỗ hổng
chưa được vá trong những phần mềm phổ dụng. Tính đến thời điểm này,
trong năm nay Adobe đã vá Flash hai lần (vào tháng 2 và tháng 7). Trong
số những bản vá hồi tháng 7, có một bản vá được sử dụng để vá lỗ hổng
mà tin tặc đã sử dụng từ một tuần trong các cuộc tấn công quy mô lớn.
Nếu Mozilla triển khai kế hoạch plug-in thì Firefox 3.6 sẽ là ứng dụng
trình duyệt đầu tiên thực hiện kiểm tra add-on nhóm ba quá hạn.
Chuyên
gia bảo mật Wolfgang Kandek, trưởng phòng công nghệ hãng bảo mật
Qualys, đã ủng hộ kế hoạch trên của Mozilla khi nói rằng “Đây là
biện pháp hữu hiệu nhất để cải thiện khả năng bảo mật của các ứng dụng
trình duyệt Web. Flash thường được tin tặc sử dụng để khai thác máy
trạm, và thật không may nó lại rất khó cập nhật. Ngoài ra IE và mọi
chương trình trình duyệt khác cũng cần được cập nhật.”