Ngày 10/7 hãng bảo mật Secunia phát hành bản tin cảnh báo người dùng Firefox về việc trình duyệt này có thể bị tấn công thông qua Internet Explorer giúp tin tặc thực thi những mã nhị phân JavaScript độc hại.

Gần như ngay sau đó các nhà phát triển của Mozilla ra tuyên bố khẳng định lỗ hổng bảo mật nói trên bắt nguồn từ trục trặc của IE chứ không phải của Firefox.

Nhưng đến ngày hôm qua (24/7), Window Snyder - Giám đốc bảo mật của Mozilla - đã phải lên tiếng rút lại tuyên bố nói trên đồng thời xác nhận rõ ràng bản thân Firefox cũng mắc lỗi bảo mật tương tự.

Nguyên nhân phát sinh lỗi bảo mật nói trên bắt nguồn từ bộ phận nhận dạng nguồn firefoxurl:// của Firefox. Bộ phận này cho phép vận hành bất kỳ mã JavaScript nào được nhúng trong các đường liên kết URL. Chuyên gia nghiên cứu bảo mật Thor Larholm là người đầu tiên phát hiện và công bố trục trặc này.

Chuyên gia bảo mật thông tin Jesper Johansson cho biết trong thử nghiệm của ông mã khai thác của Larholm đã không thể thực hiện được đầy đủ chức năng như tác giả của nó đã tuyên bố. Bên cạnh đó, ông cũng không thể loại bỏ hết nguy cơ bị tấn công của Firefox bằng cách loại bỏ hoàn toàn bộ nhận dạng firefoxurl:// thông qua điều khiển bằng dòng lệnh. Ý tứ sâu sa đằng sau lời nói của Johansson là chính Firefox cũng mắc lỗi bảo mật nói trên.

Hai ngày sau khi, Mozilla nâng cấp Firefox lên phiên bản 2.0.0.5 nhằm bảo vệ Firefox trước những URL độc hại được gửi đến từ IE. chuyên gia Johansson đã trình diễn chứng minh rõ ràng Firefox cũng mắc lỗ hổng bảo mật nhưng Mozilla lại đem đổ trách nhiệm lên tay IE.

Cuối cùng thì Synyder đã buộc phải lên tiếng. "Chúng tôi đã nghĩ rằng đó là vấn đề của IE nhưng cuối cùng mới phát hiện ra bản thân Firefox cũng có trục trặc, Chúng tôi đã kịp nhận ra vấn đề sau khi chúng tôi nâng cấp trình duyệt lên phiên bản 2.0.0.5".

Hoàng Dũng - (Betanews)

(Theo VnMedia)