De hacker die de exploit ontdekte deed dit via het trackingsysteem van het serverprogramma Bugzilla. De fout zit in het TraceMonkey JavaScript-onderdeel dat in Firefox 3.5 geïntroduceerd werd, meldt Mozilla. Volgens het bedrijf kan de code geactiveerd worden zodra met de browser naar een besmette pagina wordt gesurft, een zogenaamde “drive-by download”. Mozilla zegt dat de hacker die het lek naar buiten bracht niet de eerste is geweest. Volgens het bedrijf hadden ontwikkelaars van Firefox de bug vorige week donderdag zelf ontdekt toen zij werden geconfronteerd met foute code.

Het Deense beveiligingsbedrijf Secunia noemt het lek “kritisch”. De exploit heeft in haar rankingsysteem het op-een-na hoogste label gekregen. Het bedrijf voegt aan de beschrijving van Mozilla nog toe dat het gaat om een lek in het afhandelen van lettertypen in HTML door TraceMonkey in zogenaamde “font-tags”.

Oplossing: JIT-component uitzetten

“De ontwikkelaars van Mozilla werken aan een oplossing. Zodra er een fix is, zal er zo snel mogelijk een Firefox-update worden uitgebracht”, meldt Mozilla. Tot die tijd kunnen gebruikers van Firefox 3.5 de exploit omzeilen door de “just-in-time” (JIT) component van TraceMonkey uit te zetten. Dit is te doen door “about:config” te typen in de adresbalk van de browser, dan op “javascript.options.jit.content” te dubbelklikken en de waarde van de sleutel op “false” te zetten. Ook de populaire NoScript add-on voor Firefox voorkomt dat de exploit op de computer kan worden gedraaid.

De patch voor het lek staat inmiddels op de nominatie om te worden opgenomen in Firefox 3.5.1. Deze update stond gepland voor de laatste weken van juli, maar wordt door de bekendmaking van Bugzilla naar voren geschoven.

Ook Internet Explorer heeft lek

Eerder deze week werd de grootste concurrent van Firefox, Microsoft Internet Explorer, opnieuw getroffen door een lek in het Active X-componentsysteem. Ook Microsoft heeft nog niet direct een patch voor haar veiligheidsprobleem voorhanden, wat sommige veiligheidsexperts dwingt om voor een alternatieve browser te kiezen, meldt The Register. Zo kiezen onderzoekers van het beveiligingsinstituut SANS Internet Storm nu voor Opera, Safari of Google Chrome.