Vào hôm chủ nhật vừa qua Mozilla cho biết tin tặc không thể khai thác lỗ hổng được phát hiện trong Firefox 3.5, phiên bản Firefox mới nhất.

Mozilla đã cho ra phiên bản Firefox 3.5.1, phiên bản trình duyệt mới nhất, vào thứ 5 tuần trước. Phiên bản này này vá một số lỗ hổng bảo mật mới được phát hiện trong phiên bản Firefox 3.5 được tung ra vào tháng 6. Trong số những lỗ hổng bảo mật này có một lỗ hổng nguy hiểm cho phép tin tặc cài đặt và chạy mã độc trên một PC mà nạn nhân không hề hay biết.

Vào thứ 6, nhiều báo cáo bắt đầu đưa tin về lỗ hổng "tràn đáy ngăn xếp của bộ nhớ đệm" trong phiên bản Firefox 3.5.1 mà tin tặc có thể lợi dụng để truy cập vào một máy tính hay phát động một cuộc tấn công “từ chối dịch vụ” phân tán. Tuy nhiên quá trình kiểm tra của Mozilla lại không cho kết quả như vậy.

Trong bài viết đăng trên một blog vào hôm chủ nhật, Mike Shaver, nhà quản lý cấp cao của Mozilla, viết “Báo cáo của các cơ quan báo chí và các hãng bảo mật đã nhầm lẫn khi coi lỗ hổng này có thể khai thác. Kết quả phân tích của chúng tôi cho thấy nó không thể khai thác, và chúng tôi không thấy bất kì dấu hiệu nào cho thấy có thể khai thác.”

Shaver nói rằng lỗ hổng này có thể làm cho Firefox 3.5 và Firefox 3.5.1 trở thành công cụ đột nhập vào PC sử dụng hệ điều hành Windows, tuy nhiên nó không trao quyền truy cập cho tin tặc. Ông coi đây là một sự đột nhập “an toàn và tức thời.”

Ngoài ra, lỗ hổng này cũng biến Firefox 3.0 và 3.5 thành công cụ xâm nhập máy tính Apple.

Shaver cho biết vấn đề tương tự cũng có thể ảnh hưởng tới các ứng dụng sử dụng thư viện xử lý văn bản trong MacOS X. Ông nói “Xâm nhập có thể xảy ra bên trong hệ thống thư viện ATSUI (một phần của MacOS X) vì việc kiểm tra kết quả cấp phát không thực hiện được. Chúng tôi đã báo cáo vấn đề này cho Apple, nhưng trong trường hợp họ không cho ra một bản vá chúng tôi sẽ khắc phục trong mã của Mozilla.”