JavaScript-sårbarhet i Firefox

Et nytt sikkerhetshull er blitt funnet i Mozilla Firefox og Application Suite.

Sikkerhetsselskapet Secunia skriver at sårbarheten som er blitt funnet i Mozilla Firefox og Mozilla Suite kan utnyttes av ondsinnede til å få kjennskap til potensielt følsom informasjon. Sårbarheten beskrives som "moderat kritisk".

Sårbarheten skyldes en feil i JavaScript-motoren når en tekststreng erstattes med replace() hvor argumentet for erstatningsstrengen i replace-funksjonen er et "lambda-uttrykk", det vil si en funksjon som dynamisk genererer en streng. Bruken av et slikt lambda-uttrykk i replace() avslører en vilkårlig mengde heap-minne etter slutten på JavaScript-strengen.

Ondsinnede kan utnytte dette til å avsløre følsom informasjon i minnet.

Secunia har laget en test hvor brukeren kan se om nettleseren er sårbar. Testen er tilgjengelig her.

Ifølge Secunia er sårbarheten bekreftet i versjon 1.0.1 og 1.0.2 av Firefox og i versjon 1.7.6 av Mozilla Suite, men også eldre utgaver kan være berørte.

Foreløpig er det ikke utgitt nye utgaver av de sårbare Mozilla-produktene hvor sårbarhetene er blitt fjernet. Men de som vil kompilere kildekoden selv, kan trolig ta i bruk en patch som er tilgjengelig fra denne Bugzilla-siden.

Til toppen