L'équipe de sécurité Mozilla est actuellement en plein travail pour concevoir un correctif de sécurité afin de combler une vulnérabilité dans Firefox 3.5. La première à faire parler d'elle dans la récente mouture du navigateur Web, et qui plus est elle affecte l'une de ses fonctionnalités phares avec la technologie JIT ( Just-in-time ) de son nouveau moteur JavaScript. TraceMonkey est capable de lire le codé exécuté et de le compiler à la volée pour une utilisation ultérieure.
Ladite vulnérabilité est connue de Mozilla depuis la semaine dernière mais l'alerte est devenue sérieuse pour les utilisateurs suite à la publication en début de semaine d'un code exploit. Nul doute donc que les premières attaques ne vont pas tarder via des pages Web contenant le code exploit.
Secunia qualifie cette vulnérabilité de " hautement critique ", soit le niveau 4 sur son échelle de dangerosité graduée jusqu'à 5. La société danoise pointe du doigt une vulnérabilité de type corruption de mémoire due à un problème au niveau du traitement par du code JavaScript de tags HTML.
En attendant la publication d'un correctif et donc très probablement Firefox 3.5.1 qui est prévu pour la deuxième partie du mois de juillet, Mozilla conseille de désactiver le JIT dans le moteur JavaScript. Pour ce faire, il faut entrer about:config dans la barre d'adresse, saisir jit dans le filtre de recherche pour se diriger rapidement vers l'entrée javascript.options.jit.content, et mettre cette entrée à false en double-cliquant.
Évidemment avec ce palliatif, les performances JavaScript de Firefox 3.5 s'en trouveront altérées, et il ne faudra pas oublier de remettre l'entrée concernée à true lorsque le correctif sera proposé par Mozilla.
