Opera Software mới phát hiện và ngay lập tức đã đưa ra bản patch để sửa lỗi mà hãng cho là "đặc biệt nghiêm trọng" trong trình duyệt Opera của mình. Nhưng điều đáng nói ở đây là lỗi trong phần mềm của hãng lại được tìm ra bởi công cụ Mozilla Fuzzer của đối thủ cạnh tranh Mozilla.

Như đã biết trong hội nghị bảo mật Black Hat vừa được tổ chức gần đây, Mozilla Foundation đã cho phép người dùng máy tính có thể sử dụng công cụ JavaScript fuzzer - một ứng dụng mã nguồn mở để kiểm tra mức độ của các công cụ bảo mật. Công cụ mà theo như Window Snyder (người chịu trách nhiệm về sản phẩm bảo mật của Mozilla) cho biết: Mozilla đã sử dụng công cụ này để phát hiện và sửa được rất nhiều lỗi bảo liên quan tới bảo mật cho Firefox.

Những công cụ bảo mật fuzzers kiểu này cho phép kiểm tra ứng dụng về những vấn đề như lỗi tràn bộ đệm, lỗi định dạng chuỗi và cho phép kiểm soát được lỗi. Ví dụ như đoạn Javascript fuzzer của Mozilla gần đây đã tìm thấy 280 lỗi trong trình duyệt Firefox và 27 lỗi trong số đó là có thể bị khai thác hay lợi dụng.

Bây giờ thì Opera cũng phải dùng công cụ này để làm những việc tương tự như FireFox đang làm. Hãng cho biết lỗi vừa được phát hiện có thể cho phép hacker thực thi những đoạn mã độc trên máy của nạn nhân bằng một vài mẹo nhỏ. Opera Software đã đưa ra bản Opera 9.23 để sửa lỗi này. Công ty cũng đã có lời cảm ơn tới Firefox cho công cụ Javascript fuzzer.

Trong một bài viết trên blog vào hôm 6/8, Snyder cho biết đã nói chuyện với Claudio Santambrogio (test manager của Opera), và được biết Opera còn tìm ra và sửa thêm được 4 lỗi khác với công cụ fuzzer.

Snyder viết "Đây chính là điều chúng tôi mong đợi khi thực hiện mục đích của mình. Hy vọng điều này sẽ khuyến khích các nhà cung cấp chia sẽ thêm những công cụ bảo mật của hãng cho mọi người nhằm làm cho những phần mềm của chúng ta ngày càng có tính bảo mật cao hơn."

Theo như Snyder cho biết thì Mozilla cũng đã làm việc với Microsoft, Apple và Opera trước khi cho công bố rộng rãi Javascript fuzzer, để các hãng này có thể giảm thiểu những rủi ro khi mọi người sử dụng công cụ nhằm khai thác lỗi trên các trình duyệt phổ biến hiện nay.Việc Mozilla công bố Javascript fuzzer đều đã nhận được sự đồng ý từ các công ty.

Bùi Bình (theo news.yahoo.com)



Bình luận

  • TTCN (0)