Hai lỗ hổng nghiêm trọng vừa được phát hiện trong trình duyệt Firefox, có thể cho phép tin tặc thực hiện kiểu tấn công "cross-site" và đột nhập vào máy tính nạn nhân.
Cụ thể, hai lỗ hổng được hãng bảo mật Secunia mô tả sơ lược như sau:
1. Sự cố phát sinh do đường URL JavaScript "IFRAME" không được bảo vệ an toàn khi được thực thi trong danh sách lưu trữ của một đường URL khác. Sai sót này có thể bị lợi dụng để thực thi mã script và HTML nhị phân.
2. Kết quả đầu vào khi chuyển tới thông số "IconURL" (trong "InstallTrigger.install()") đã không được xác nhận chính xác trước khi sử dụng. Tin tặc có thể khai thác sai sót này để thực thi mã JavaScript nhị phân phục vụ cho kiểu tấn công "chiếm quyền leo thang" thông qua một đường URL JavaScript được thiết kế đặc biệt.
Lỗ hổng được xác nhận ảnh hưởng tới phiên bản Firefox 1.0.3. Các phiên bản khác cũng có thể bị tác động.
Chú ý: Kết hợp lỗ hổng 1 và 2 sẽ cho phép tin tặc thực thi mã nhị phân trên máy tính nạn nhân. Ngoài ra, cũng cần biết rằng, công cụ khai thác lỗ hổng này đã được công khai trên mạng Internet.
Giải pháp: Vô hiệu hoá chức năng JavaScript trong trình duyệt Firefox.