4 lỗ hổng zero-day
Trong Pwn2Own 2014, giới hacker đã nhận được tổng số tiền thưởng 850.000 USD cho việc khai thác các lỗ hổng trên 4 trình duyệt chúng ta vừa nói tới. Nhưng có lẽ họ sẽ phải dành lời cảm ơn nhiều nhất dành cho Mozilla, tổ chức phát triển Firefox. Trình duyệt này bị các nhà nghiên cứu khai thác 4 lỗ hổng zero-day, và trong thực tế, nếu kẻ xấu có thể tận dụng các lỗ hổng này, thì đồng nghĩa với việc chúng có thể làm bất kì việc gì mà chúng muốn trên máy tính nạn nhân.
Firefox cũng chưa bao giờ đạt được thành tích cao trong các lần tổ chức Pwn2Own trước đây. Mặc dù format của cuộc thi thường thay đổi theo từng năm kể từ khi cuộc thi được bắt đầu vào 2007, nhưng Firefox không ít thì nhiều cũng "dính chàm" từ năm 2009. Trong khi giới hacker chịu bó tay trước Chrome vào các năm 2009, 2010, 2011, thì năm duy nhất Firefox không bị khai thác lỗ hổng là vào 2011. Tuy nhiên, từ 2012, khi mà giới hacker ngày càng "giỏi" hơn, thì các trình duyệt đều bị phát hiện ít nhất 1 lổ hổng zero-day. Tuy nhiên, với việc bị tố tới 4 lỗ hổng này trong Pwn2Own 2014, thì Firefox rõ ràng là đã để lại những ấn tượng không tốt.
Nguyên nhân
Nguyên nhân khiến Firefox có nhiều điểm yếu về bảo mật đó là việc trình duyệt này không sử dụng công nghệ sandbox. Sandbox giống như 1 "tấm khiên", tường lửa ngăn cách trình duyệt với các thành phần khác của hệ thống máy tính. Bằng cách này, khi hacker tấn công được vào trình duyệt, chúng cũng không thể thâm nhập sâu vào hệ thống để ăn cắp các thông tin khác của người dùng.
Nhà nghiên cứu bảo mật Mariusz Mlynski đang demo 1 lỗ hổng trên Firefox tại Pwn2Own 2014.
Lựa chọn cho người dùng
Firefox không phải sự lựa chọn lý tưởng cho những ai quan tâm tới bảo mật thông tin khi lướt web.
Pwn2Own 2014 chứng kiến số tiền thưởng 850.000 USD được trao cho các chuyên gia bảo mật. Giống như 2 năm trước, hãng bảo mật Pháp Vupen cho thấy họ rất giỏi trong lĩnh vực này, khi thu về 400.000 USD tiền thưởng nhờ tìm được tổng số 11 lỗ hổng zero-day (trong các sản phẩm Chrome, Firefox, IE, Adobe Flash, Adobe Reader). Hacker nổi tiếng George Hotz (hay còn được gọi là GeoHot) cũng đút túi 50.000 USD nhờ phát hiện 1 lỗ hổng trên Firefox. Đó là chưa kể 150.000 USD anh nhận được từ Google với công phát hiện lỗ hổng bảo mật của trình duyệt Chrome.
Theo Trí Thức Trẻ