Tanto la empresa de seguridad online Secunia como la propia Fundación Mozilla han informado de dos vulnerabilidades consideradas críticas que afectan al navegador gratuito Firefox en su versión 1.0.3, la última, y que pueden afectar también a versiones anteriores. Estas vulnerabilidades podrían, según Hispasec, “ser explotadas por atacantes remotos incluso para comprometer la maquina de la víctima”.

Según informa Secunia, el primer problema tiene que ver con los frames en las URL JavaScript, que no están protegidos convenientemente en cuanto al acceso de elementos restringidos, lo que puede ser aprovechado para ejecutar HTML y scripts arbitrarios en la sesión del navegador del usuario de forma remota.

La segunda vulnerabilidad,según informa Hispasec, se debe a una incorrecta verificación del parámetro ‘IconURL’ en la función ‘InstallTrigger.install()’, lo que puede ser utilizado para ejecutar código JavaScript arbitrario y llevar a cabo una escalada de privilegios en el sistema afectado.

De momento no existe ninguina solución específica para ambos agujeros, por lo que se recomienda deshabilitar la función JavaScript del navegador, desactivar la instalación de software o utilizar otro navegador.