Mã khai thác một lỗi zero-day trong phiên bản mới nhất của trình duyệt web FireFox 3.6 đã bị phát tán trên mạng. Người dùng FireFox tiếp tục đối mặt với nguy cơ bảo mật khi Mozilla chưa kịp thời phát hành bản vá.

Lỗi trong phiên bản trình duyệt FireFox 3.6 được khám phá bởi công ty chuyên nghiên cứu bảo mật InteVyDis có trụ sở tại Nga. Mã khai thác lỗi này được đưa vào trong phiên bản mới nhất của phần mềm VulnDisco do InteVyDis phát hành.

Hãng bảo mật Secunia đánh giá lỗi này ở mức độ "Rất nguy hiểm" và xếp lỗi này vào nhóm lỗi có thể bị khai thác vận hành mã tùy ý từ xa.

InteVyDis cho biết mã khai thác sẽ thông qua lỗi của FireFox để tấn công vào các máy tính sử dụng hệ điều hành Windows XP SP3 / Vista và có thể ảnh hưởng đến một số hệ điều hành khác như Mac OS X hay Windows 7.

Thay vì cung cấp toàn bộ thông tin cho Mozilla và không phát tán mã khai thác lên mạng trong một khoảng thời gian nhất định thì InteVyDis đã đánh bóng tên tuổi của mình lẫn sản phẩm VulnDisco. Người dùng FireFox 3.6 (các phiên bản trở về trước có thể cũng bị ảnh hưởng) khi lướt web có thể sẽ hứng chịu các đợt tấn công từ mã độc nhúng vào các website nếu Mozilla không nhanh tay phát hành bản vá khẩn cấp.

Giải pháp hiện tại được khuyến cáo là chuyển sang dùng một trình duyệt thay thế tạm thời như Opera hoặc Google Chrome để tránh bị "dính" mã khai thác được nhúng vào các website. Luôn luôn để chế độ bảo vệ trong thời gian thực (real-time) đối với các chương trình bảo mật, anti-virus hay tường lửa và cần cập nhật ngay bản vá lỗi khi nhà sản xuất phát hành qua chế độ cập nhật tự động.

Mozilla cập nhật cho FireFox 3.5.x

Có thể tải về phiên bản mới được phát hành bao gồm: FireFox 3.5.8, riêng phiên bản FireFox 3.0.18 đã ngưng phát triển theo chu kỳ phát hành phiên bản mới của Mozilla.
Mozilla đã tiến hành khắc phục 5 lỗi mà trong đó có 3 lỗi ở mức độ nguy hiểm trong hai thế hệ FireFox trước là FireFox 3.5.x và FireFox 3.0.x. Phiên bản FireFox 3.6 đã khắc phục được các lỗi này.

Ba lỗi nguy hiểm nằm trong công cụ biên dịch Gecko mà hacker có thể khai thác để chèn mã độc vào máy tính nạn nhân.