O site da Secunia publicou um relatório sobre a vulnerabilidade, considerada “altamente crítica” no consumo de memória do Firefox 3.5.

“A vulnerabilidade é causada por um erro de processamento de JavaScript e pode ser explorada por atacantes remotos para executar código arbitrário enganando o usuário para visitar páginas falsas na web”, diz o relatório. No exemplo dado pela Secunia, a tag HTML font poderia ser usada para explorar essa falha. Uma vez que uma página utilize a vulnerabilidade para ataques, o buffer do Firefox “explode”, permitindo controle sobre os arquivos do computador e também contaminação por vírus.

Uma das formas de evitar a vulnerabilidade é instalando o plugin NoScript, que dá ao usuário controle sobre como cada JavaScript é executado (ou não). A correção oficial para o problema deve ser disponibilizada em breve.

A outra forma seria alterando a configuração do browser, para desabilitar o novo motor Javascript TraceMonkey, que acelera o carregamento das páginas:

1. Abra o Firefox.
2. Na barra de endereços digitar about:config.
3. Clique no botão de alerta “Serei cuidadoso eu prometo”.
4. Pesquise pela chave de nome javascript.options.jit.content.
5. Dê um duplo clique nessa chave para alterar o valor para false.

Mais informações sobre esta falha de segurança, podem ser encontradas em:

http://www.vupen.com/english/advisories/2009/1868
http://secunia.com/advisories/35798/

Para quem quiser uma alternativa ao Firefox, recomendo o Opera Unite. Excelente browser, que traz como novidade um WebServer embutido. Utilizo ele há algum tempo e confesso a todos que nem lembro mais do FF.