Sikkerhetsselskapet Secunia skriver at sårbarheten som er blitt funnet i Mozilla Firefox og Mozilla Suite kan utnyttes av ondsinnede til å få kjennskap til potensielt følsom informasjon. Sårbarheten beskrives som "moderat kritisk".
Sårbarheten skyldes en feil i JavaScript-motoren når en tekststreng erstattes med replace() hvor argumentet for erstatningsstrengen i replace-funksjonen er et "lambda-uttrykk", det vil si en funksjon som dynamisk genererer en streng. Bruken av et slikt lambda-uttrykk i replace() avslører en vilkårlig mengde heap-minne etter slutten på JavaScript-strengen.
Ondsinnede kan utnytte dette til å avsløre følsom informasjon i minnet.
Secunia har laget en test hvor brukeren kan se om nettleseren er sårbar. Testen er tilgjengelig her.
Ifølge Secunia er sårbarheten bekreftet i versjon 1.0.1 og 1.0.2 av Firefox og i versjon 1.7.6 av Mozilla Suite, men også eldre utgaver kan være berørte.
Foreløpig er det ikke utgitt nye utgaver av de sårbare Mozilla-produktene hvor sårbarhetene er blitt fjernet. Men de som vil kompilere kildekoden selv, kan trolig ta i bruk en patch som er tilgjengelig fra denne Bugzilla-siden.
