Não precisou nem de 20 dias após o lançamento do Firefox 3.5 para que a sua primeira falha de segurança fosse descoberta. De acordo com um relatório divulgado pela Secunia, a vulnerabilidade afeta o engine de JavaScript do navegador (TraceMonkey) e pode ser explorada sem consentimento algum do usuário.
Um código de exemplo capaz de explorar a falha já está disponível online. Basicamente, ele consiste em causar um erro na forma como lida com certos elementos da página. A partir daí, ele pode ser manipulado de maneira a abrir o processo do navegador para execução de código arbitrário em qualquer sistema operacional suportado por ele.
Por ora, é possível burlar essa falha temporariamente. Basta abrir uma aba/janela vazia no Firefox 3.5 e digitar about:config
. Na página que se abre, use o campo de busca para filtrar a visualização na preferência javascript.options.jit.content
. Por fim, dê dois cliques nela para mudar o seu estado de true
para false
. Apesar de isso conceder uma proteção temporária, também desativará o acelerador de JavaScript no navegador, fazendo web apps ficarem mais lentos.
Membros da comunidade de desenvolvimento da Mozilla anunciaram estar trabalhando para solucionar esta falha com um update que está previsto para ser liberado ainda este mês.
[Via: Macworld.]