A Mozilla negou neste final de semana relatos recentes de uma nova brecha de segurança grave no Firefox 3.5.1, que foi atualizado na última sexta-feira com algumas correções nessa área — inclusive para uma falha crítica que documentamos há quase uma semana. Apesar de várias agências de segurança terem aberto um novo registro de bug para o browser relacionado com sua forma de lidar com longas cadeias de caracteres em Unicode, a empresa afirma que trata-se de algo não-explorável.
Aparentemente, o navegador é encerrado de forma imediata e segura ao tentar alocar um volume muito grande de dados no formato descrito acima. Teoricamente, isso não dá aval para execução de código malicioso; no Mac OS X, contudo, o encerramento do Firefox vem de uma biblioteca do próprio sistema, que falha ao verificar os resultados dessas alocações. Assim, qualquer aplicativo que utiliza os frameworks recomendados para lidar com texto no sistema da Apple pode ser afetado, e não apenas o produto da Mozilla.
Tal efeito também procede no Linux, de forma que a desenvolvedora do Firefox está preparando algumas medidas preventivas para o seu código, a fim de prevenir que alocações ligadas ao sistema dessa forma possam oferecer brechas de segurança, enquanto a Apple não cuida disso oficialmente. Para o Windows, não há problemas com as alocações de código por parte do sistema, mas, aparentemente, usuários do Vista SP2 podem passar por problemas semelhantes.
[Via: Macworld.]