Problem
Przyczyną usterki jest błąd w przetwarzaniu nieprawidłowych plików XML lub XSL, który może prowadzić do błędu funkcjonowania pamięci. Pokazowy skrypt Landiego w krótkim teście redakcji heise Security spowodował wprawdzie jedynie zakończenie pracy przeglądarki, ale w bardziej niebezpiecznej postaci może on być zdolny do przemycenia i wykonania dowolnego kodu. W tym celu, według wyjaśnień autora, trzeba jednak zastosować metodę heap spraying, przypuszcza się więc, że wyłączenie JavaScriptu daje użytkownikom krótkotrwałą ochronę przed prawdziwymi exploitami dla tej luki.
Problem dotyczy wersji od 3.0 do 3.0.7 na wszystkich systemach operacyjnych. Zdaniem dewelopera Blake'a Kaplana błąd jest w zasadzie całkiem oczywisty –. trzeba było tylko dokładniej przyjrzeć się kodowi. Wersja 3.0.8 w zapowiedziach wydania jest określana jako high-priority firedrill security update.
Rozwiązanie
Programiści Firefoksa przygotowali już wprawdzie patche, ale muszą one jeszcze zostać przetestowane.
wydanie internetowe www.heise-online.pl