Secunia, dánská bezpečností společnost, chybu hodnotí jako „vysoce kritickou.“ Chyba je v JavaScript enginu TraceMonkey, který debutoval právě s nejnovější verzí 3.5. „Toho může zneužít útočník, naláká-li svými triky oběť na nebezpečnou webovou stránku obsahující škodlivý kód“ uvedla Mozilla ve svém úterním prohlášení na bezpečnostním blogu.
Podle Asa Dotzlera, ředitele pro místní rozvoj u společnosti Mozilla, nejsou majitelé starších verzí prohlížeče Firefox, včetně Firefoxu 3.0, ohroženi. „Vývojáři prohlížeče Mozilla již pracují na opravě na této chyby a bezpečnostní aktualizace bude uvolněna hned, jakmile bude dokončena a proběhne její úspěšné testování“ napsal Dotzler na firemním blogu. Hacker, který se napadením prohlížeče prezentoval toto pondělí, však nebyl prvním, kdo zranitelnost enginu TraceMonkey odhalil. Vývojáři Mozilly na chybu upozornili již minulý čtvrtek.
Než bude uvolněna opravná aktualizace, mohou se uživatelé prohlížeče chránit tím, že vypnou komponentu just-in-time (JIT), která je součástí právě postiženého enginu TraceMonkey. Stačí, když do adresního řádku prohlížeče zadají příkaz “about:config“, pomocí filtru si následně vyhledají položku “javascript.options.jit.content“ a poté dvojitým klepnutím změní její hodnotu na “false“.
Mozilla také přislíbila již v druhé polovině července uvolnit opravenou verzi Firefox 3.5.1, která by měla opravovat i problémy se stabilitou nového browseru, který se vyznačuje častými pády (více viz článek Firefox 3.5 není stabilní, Mozilla chystá opravy). Tyto nedostatky a také objevení vysoce kritické chyby v TraceMonkey, který byl jedním z hlavních zdrojů zdržení vývoje celého prohlížeče, pak znovu rozpoutaly diskusi o tom, že Mozilla uvedla Firefox 3.5 předčasně a release candidate fázi uspěchala...