A falha atinge o método document.write, que após receber uma string Unicode muito longa causa um estouro da pilha de memória (buffer overflow) possibilitando a execução de código remota, comprometendo o sistema ou causando um ataque DOS (Denial Of Service).
A Mozilla, desenvolvedora do browser, respondeu à noticia informando que apesar da falha realmente existir, técnicas de segurança presentes nas ultimas versões do browser não permitem a mesma seja explorada, entretanto, já foi tornada publica uma prova de conceito, e sites de segurança como SANS Internet Storm Center e IBM ISS X-Force já terem confirmado a falha.
E não para por aí, com esta falha, desabilitar manualmente a execução de JavaScript pelo browser NÃO é suficiente para evitar a execução de código pelo atacante. Até o momento não foi liberada nenhuma correção para o problema e a recomendação, assim como das outras vezes, é não visitar sites que não sejam confiáveis até que o problema seja resolvido.
Iniciar o download do [download id=”30″] – via tecnoblog.net.