Securident Technologies har publisert kode som viser hvordan man kan utnytte en ny sårbarhet i Mozilla Firefox. Mozilla skal ifølge CSIS ikke ha blitt varslet før koden ble publisert.
Det er delte meninger om hvorvidt detaljert offentliggjøring av sårbarheter før en sikkerhetsfiks er tilgjengelig, er mer til skade enn til gagn for brukerne. Mange IT-administratorer i bedrifter ønsker å vite om alle aktuelle sårbarheter på et så tidlig tidspunkt som mulig, slik at de kan iverksette tiltak mot disse. Men for den jevne bruker, som verken vil være oppmerksom på sårbarheten eller kunne gjøre noe særlig for å forhindre utnyttelse av den, er det en fordel at detaljer om utnyttelse av sårbarheten forblir upubliserte inntil en sikkerhetsfiks er tilgjengelig.
Sårbarheten skal i hvert fall finnes i Windows- og Linux-versjonene av Firefox 1.5.0.2, men kan også eksistere i andre utgaver. Problemet skyldes Firefox' håndtering av iframe.contentWindow.focus() i visse JavaScript i bibliotekfilene js320.dll og xpcom_core.dll. Ved å manipulere denne funksjonen vil en overflytsfeil oppstå i en buffer. Dette åpner for både DoS-angrep (krasj) og kjøring av vilkårlig kode med de samme rettigheter som brukeren har. Eksempelet Securident Technologies har publisert, fører til at Firefox krasjer.
Ifølge CSIS forventes det at Mozilla raskt vil utgi en rettelse som lukker sikkerhetshullet.
Mozilla har tidligere i april publisert sikkerhetsoppdateringer til både Mozilla Suite, Firefox og Thunderbird, men disse inkluderer altså ingen fiks som lukker dette sikkerhetshullet.
