Mozilla vient à nouveau de publier une alerte concernant son navigateur Firefox 3.5, victime d’une faille de sécurité JavaScript révélée publiquement sur le Net.
Secunia qualifie cette faille de critique avec un niveau de dangerosité de 4/5. Elle concerne une vulnérabilité due à un problème au niveau de la prise en charge de tags HTML « font » par du code JavaScript : elle permet d’exécuter un code exploit et grâce à lui de lancer plusieurs autres attaques de codes malicieux sur le PC.
A ce jour, il n’existe aucun correctif mais Mozilla affirme travailler au colmatage de cette faille.
A priori, ce correctif devrait intégré à la version Firefox 3.5.1 attendue d’ici la fin du mois. Rappelons en effet que quelques jours seulement après le lancement de Firefox 3.5, Mozilla a communiqué sur la découvertes de 3 bugs qui trouveront leur résolution dans Firefox 3.5.1 (voir cet article).
En attendant que cette faille JavaScript soit corrigée, vous pouvez soit changer de navigateur soit désactiver le JIT dans le moteur JavaScript comme le préconise Mozilla.
Pour cela, il faut entrer about:config dans la barre d’adresse de Firefox 3.5, rechercher la ligne javascript.options.jit.content et passer sa valeur de true à false en double cliquant sur la ligne.
Cette solution temporaire entrainera une diminution des performances du moteur JavaScript avec un niveau équivalent à la version 3.0. Lorsque le correctif sera disponible, il faudra penser à réactiver JIT toujours via about:config en attribuant la valeur true à javascript.options.jit.content.
[Source : Mozilla Security Blog]