Pomimo ostatniej aktualizacji bezpieczeństwa eliminującej wykryty niedawno błąd w przeglądarce Firefox 3.5 (http://www.heise-online.pl/news/Mozilla-el...irefoksa--/9440) okazało się, że najnowsza wersja przeglądarki jest podatna na błąd znany jako przepełnienie bufora.

Objawia się on w momencie przekazania do metody document.write() JavaScript'u zbyt długiego łańcucha znaków UNICODE. W konsekwencji może doprowadzić to do wyczerpania przez przeglądarkę zasobów pamięci RAM komputera-ofiary, a także całkowicie zawiesić jej działanie. Jak zapewniają przedstawiciele Mozilla Foundation, luka nie umożliwia wykonania dowolnego kodu na komputerze ofiary (np. na niektórych konfiguracjach systemu Windows powoduje ona jedynie awaryjne zamknięcie przeglądarki).

Przykład działania exploita wykorzystującego błąd przedstawiony został na stronie SecurityFocus.com:http://downloads.securityfocus.com/vulnera...oits/35707.html

Jak na razie jedynym sposobem obrony jest wyłączenie obsługi JavaScript w Firefoxie.

Więcej informacji:
http://www.securityfocus.com/bid/35707