Lỗ hổng này được công ty Secunia của Đan Mạch báo cáo đầu tiên, sau đó được cơ quan US-CERT (United States Computer Emergency Readiness Team - Trung tâm ứng cứu khẩn cấp máy tính Mỹ) xác nhận. Hôm 7/5/2010, lỗi đã bị nhà nghiên cứu Krystian Kloskowski người Ba Lan tiết lộ. Lỗi xảy ra trong cách xử lý các cửa sổ mẹ của trình duyệt.

Tin tặc có thể làm thương tổn các PC với kiểu tấn công "drive-by" đơn giản, các nhà nghiên cứu cho biết. "Lỗi này có thể bị khai thác để thực thi mã tùy ý khi người dùng thăm một trang web được tạo ra đặc biệt, và đóng những cửa sổ pop-up đã mở", Secunia cảnh báo. Lỗ hổng cũng có thể bị tin tặc khai thác, lừa người người sử dụng mở e-mail HTML “độc” trong Safari, US-CERT nói thêm.

Hôm 10/5/2010 cả Secunia và US-CERT khẳng định, mã tấn công chứng minh khái niệm được ông Kloskowski công bố làm thương tổn thành công phiên bản Safari 4.0.5 cho Windows (đây là phiên bản mới nhất ngày nay). Secunia đánh giá lỗ hổng là "nghiêm trọng cao" (mức đe dọa nguy hiểm thứ 2 trong hệ thống 5 mức của họ).

Không biết liệu lỗ hổng có tồn tại trong phiên bản Safari cho Mac OS X hay không. US-CERT khuyến cáo người dùng phiên bản Safari cho Windows hãy vô hiệu hóa tính năng JavaScript như là một biện pháp bảo vệ.

Theo PCWorldVN