Stv@d [Off] [#] (20.07.2009 / 09:01) Аццкей Линугзоид

Сайт National Vulnerability Database опубликовал информацию об очередной критической уязвимости в Firefox с рейтингом «10 (HIGH)», которая применима и к версии 3.5.1 этого браузера. На трекере IBM эта уязвимость также отмечена как HIGH Risk. Сайт security focus опубликовал proof of concept этой уязвимости.

Суть уязвимости в обработке очень длинных unicode-строк, которая может привести к переполнению буфера и выполнению вредоносного кода.

Mozilla отреагировала на обнаружение, заявив, что уязвимость есть, но она не может использоваться для нанесения вреда, однако позднее в своем же посте появилось обновление следующего содержания

" thanks to Larry Seltzer for bringing to our attention that Firefox 3.5.x will indeed still crash using the provided PoC on Windows, at least for some users"

которое означает, что по крайней мере windows-пользователи подвержены опасности.