Firefox 3.5 tiene una vulnerabilidad muy crítica para la que por ahora no hay parche, según ha informado Secunia que ya ha sido parcheada en la versión de desarrollo. El fallo, que puede afectar a otras versiones del navegador, permite a los atacantes la ejecución de código arbitrario en la máquina afectada.
La vulnerabilidad se debe a un error en la gestión al procesar código JavaScript. Para explotarlo, tan sólo hay que utilizar etiquetas HTML para causar una corrupción en la memoria, abriendo la puerta a la ejecución de código arbitrario.
La solución provisional es sencilla, afortunadamente, en tanto en cuanto Mozilla no libere el parche Firefox 3.6. En la sección de configuración de Firefox (a la que se accede en about:config), cambiar el valor de la entrada javascript.options.jit.content a “false”.
Editado: RSB y Jorge Ces nos avisan de que la vulnerabilidad sí que estaba resuelta, incluso antes de ser publicada, en la versión de desarrollo de Firefox 3.6.
Ver 30 comentarios