En sårbarhet knyttet til håndteringen av XSL-filer i Firefox har blitt lekket på nettet. Det melder Mozilla på denne siden.
Feilen i Firefox gjør det mulig for en angriper å korrumpere minnet til det sårbare systemet. Dette åpner for fjernkjøring av vilkårlig kode med samme privilegier som det nettleseren har.
Eksempelkode på hvordan sårbarheten kan utnyttes, finnes blant annet her. Det er Guido Landi som først offentliggjorde detaljer om sårbarheten, som skal gjelde Firefox 3.0 for både Windows, Mac og Linux.
Mozilla skriver at både denne sårbarheten og sårbarheten som ble oppdaget i nettleseren i forbindelse med CanSecWest-arrangementet i forrige uke, vil bli tatt hånd om i neste versjon av nettleseren, Firefox 3.0.8. Etter planen skal oppdateringen gjøres tilgjengelig den 1. april.
Fram til da kan brukerne av Firefox omgå mulig utnyttelse av sårbarhetene ved å deaktivere Javascript i nettleseren eller ved å installere NoScript-tillegget, som lar brukeren velge på hvilke nettsteder Javascript-kode ikke skal blokkeres.
Les også:
- [28.04.2009] Andre Firefox-oppdatering på under en uke
- [30.03.2009] Tidlig sikkerhetsfiks fra Mozilla
- [26.03.2009] - Elendig sikkerhet i Mac OS
- [04.03.2009] - Safari blir hacket først
