De afgelopen periode is er tussen beveiligingsonderzoekers en Mozilla en Microsoft veel gekibbeld over wie schuld heeft aan de kwetsbaarheid. Uiteindelijk heeft Mozilla de hand in eigen boezem gestoken en nu een patch uitgebracht. De Firefox-uitgever benadrukt echter dat de patch er weliswaar voor zorgt dat gebruikers niet meer kwetsbaar zijn voor het lek in Firefox, maar dat de kwetsbaarheid in IE nog steeds bestaat.

Het lek zit in een component van Internet Explorer, die de browser in staat stelt om andere applicaties, zoals Firefox te starten. Als een gebruiker op een link klikt waardoor Firefox opstart, wordt de opdrachtregel niet goed gecontroleerd door de IE-software. Een aanvaller kan door een speciaal gefabriceerde link aan te maken commando's uitvoeren op de pc van een slachtoffer. Beveiligingsbedrijf Secunia heeft het lek eerder als zeer kritiek geclassificeerd.

"Andere Windows-applicaties zijn op dezelfde manier kwetsbaar voor het lek. De patch zorgt er alleen voor dat er geen kwaadaardige code kan worden uitgevoerd binnen Firefox en Thunderbird", zo staat in de Mozilla-advisory. "Mozilla raadt gebruikers daarom ten zeerste aan Firefox te gebruiken om over het web te surfen en zo te voorkomen dat aanvallers het probleem in Internet Explorer kunnen misbruiken."

De Deense beveiligingsonderzoeker Thor Larholm, die het lek heeft ontdekt, is het met Mozilla eens dat het lek in Internet Explorer dat Microsoft weigert te patchen, nog steeds gevaarlijk is. "Ik kan de eerste reactie van Microsoft wel begrijpen, omdat alle beveiligingsrapporten voornamelijk spraken over de kwetsbaarheid in Firefox", zegt Larholm. "Maar hoe dan ook, ik kan nu nog steeds automatisch een hele serie aan externe applicaties opstarten via Internet Explorer en dan willekeurige commando's uitvoeren."

Voorbeelden die Larholm noemt zijn Acrord32.exe (Adobe Acrobat PDF Reader), aim.exe, Outlook.exe, msimn.exe (Outlook Express), netmeeting.exe, Helpctr.exe (Windows Help Center), mirc.exe, Skype.exe, wab.exe (Windows Adress Book) en wmplayer.exe.

Firefox 2.0.0.5 kan worden gedownload voor Windows, Mac OS X en Linux. De update lost ook een aantal geheugenlekjes en een xss-lek op. De update is vanwege het kritieke firefoxurl://-lek versneld uitgebracht.