Lỗi bảo mật Javascript trong Firefox chỉ là trò đùa

Lỗi bảo mật nghiêm trọng liên quan đến cách trình duyệt mã nguồn mở Firefox xử lý mã Javascript vừa được tiết lộ cuối tuần trước chỉ là “một trò đùa”.

Mozilla đã phải mất hai ngày tích cực nghiên cứu xem liệu mã khai thác lỗi bảo mật Javascript vừa được hai hacker Mischa Spiegelmock và Andrew Wbeelsoi công bố tại Hội nghị Toorcon cuối tuần trước có thực sự cho phép những kẻ tấn công từ xa thực thi các mã độc hại trên các hệ thống mắc lỗi thông qua một lỗi tràn bộ nhớ đệm trên Firefox hay không. Kết quả trái với những gì mà Spiegelmock và Wbeelsoi tuyên bố.

Mischa Spiegelmock và Andrew Wbeelsoi trình bày tại Hội nghị Toorcon Ảnh: Cnet

Giám đốc bảo mật của Mozilla Window Snyder cho biết hacker Spiegelmock sau đó đã thừa nhận là bản trình bày về lỗi Javascript trong Firefox trước Hội nghị Toorcon chỉ là một trò đùa không hơn không kém. Spiegelmock và Wbeelsoi chưa từng bao giờ có thể lợi dụng được lỗi bảo mật đó để từ xa thực thi các mã độc hại trên hệ thống mắc lỗi.

“Nếu có khai thác thành công đi chăng nữa thì trường hợp tệ hại nhất là chỉ làm treo trình duyệt Firefox,” Snyder khẳng định.

Hacker Spiegelmock cũng đã chính thức đưa thông tin khẳng định “trò đùa cợt” nói trên trên trang Blog LiveJournal. Trong bài viết này, Spiegelmock cũng đính kèm theo liên kết đến tuyên bố thừa nhận “trò đùa” của anh ta đăng tải trên Blog của Snyder.

“Mục đích chính của chúng tôi chỉ là đùa cợt,” tuyên bố của Spiegelmock đăng tải trên Synder blog khẳng định. “Trong bài trình bày, chúng tôi có đề cập đến một lỗi bảo mật đã từng được biết đến trong trình duyệt Firefox. Lỗi này có thể bị khai thác để thực thi mã độc hại từ xa thông qua một lỗi tràn bộ nhớ đệm. Tuy nhiên, mã khai thác mà chúng tôi đưa ra trình bày tại Hội nghị không có được khả năng đó. Tôi chưa từng có thể khai thác thành công lỗi bảo mật để từ xa thực thi các mã độc hại trên hệ thống bị mắc lỗi. Tôi cũng chưa từng biết đến một ai có được khả năng đó”.

Giám đốc bảo mật Snyder cũng cho biết là trong bản trình bày trước hội nghị Mischa Spiegelmock và Andrew Wbeelsoi tuyên bố còn đang giữ thông tin về hơn 30 lỗi bảo mật khác trong Firefox. Nhưng đây cũng chỉ là một trò đùa.

Người phát ngôn của Six Apart – hãng nơi mà Spiegelmock đang làm việc – cho biết bài trình bài của hai hacker tại Hội nghị Toorcon chỉ là một trò đùa của những “cậu hacker tuổi teen”. Họ vẫn chưa hiểu được tính chất nghiêm trọng mà “trò đùa” của họ có thể gây ra.

Hoàng Dũng