Błąd, którego szczegółowy opis został opublikowany na stronach Secunii, dotyczy silnika JavaScript. Jego wykorzystanie sprowadza się do zwabienia użytkownika na stronę WWW zawierającą złośliwy kod (podczas przetwarzania odpowiednio spreparowanych znaczników font może wystąpić przepełnienie bufora).

W serwisie Milw0rm pojawił się już demonstracyjny exploit wykorzystujący tę usterkę. Opublikowany skrypt powoduje jedynie uruchomienie Kalkulatora bez żadnych działań ze strony użytkownika. Jego zmodyfikowanie - jak twierdzą eksperci - może pozwolić na wykonanie dowolnego kodu.

Możliwość wykorzystania exploita została potwierdzona przez Internet Storm Center oraz producentów oprogramowania zabezpieczającego, m.in. przez F-Secure.

Do czasu ukazania się poprawki eksperci zalecają zachowanie szczególnej ostrożności podczas odwiedzania stron wykorzystujących JavaScript. Na blogu Mozilli można też znaleźć instrukcję tymczasowego obejścia problemu, które polega na wyłączeniu kompilacji Just-in-time (JIT). W tym celu należy:

• w pasku adresowym wpisać about:config (po wyświetleniu się komunikatu ostrzegającego, że modyfikacja ustawień może spowodować problemy, trzeba kliknąć przycisk "Zachowam ostrożność, obiecuję!"),
• w polu "Filtr" wpisać jit,
• wyszukać javascript.options.jit.content i ustawić wartość na false.

Warto pamiętać, że działanie silnika JavaScript zostanie wówczas znacznie spowolnione, dlatego po zainstalowaniu poprawki warto przywrócić oryginalne ustawienie.