De proof-of-concept exploit gebruikt Javascript-code om een image-tag te genereren met een 'mailto'-link, zo ontdekte beveiligingssite Securityview.com.

Als de code wordt uitgevoerd, wordt de mailapplicatie enkele tientallen keren geopend zonder tussenkomst van de gebruiker. Als er geen standaardmailapplicatie is gedefinieerd, worden er enkele tientallen vensters van Internet Explorer geopend.

Het SANS Insitute heeft overigens een oplossing om misbruik van het lek te voorkomen. Dit kan door Firefox zo in te stellen dat de mailapplicatie niet automatisch kan worden opgestart.

Door in de adresbalk het commando 'about:config' aan te roepen, verschijnt een lijst met configuratieopties. Als de variabele bij 'warn-external.mailto' op 'true' wordt gezet, zal Firefox de gebruiker om toestemming vragen alvorens de mailbox te openen.

Overigens is Firefox 1.5.0.3 die begin deze maand werd vrijgegeven een versneld uitgegeven update om een bug in de open-sourcebrowser te kunnen dichten. Dit lek had eveneens betrekking op de manier waarop Firefox met Javascript-code omgaat. Bron: Techworld