Firefox-, Mozilla- ja Netscape-selaimista on löydetty haavoittuvuus, joka liittyy idn-tukeen (internationalized domain names). Idn-tuen avulla selain kykenee käsittelemään unicode-merkistön mukaisia dns-nimiä, kuten nettiosoitteita, joissa on ääkkösiä.
Löydetty haavoittuvuus liittyy html-koodissa olevan url-parametrin käsittelyyn. Url-parametrin sisältämä tietyllä tavalla muokattu dns-nimi aiheuttaa selainohjelmistossa puskuriylivuodon, jota hyväksikäyttämällä hyökkääjän voi olla mahdollista suorittaa kohdejärjestelmässä omia komentojaan.
Haavoittuvuutta voidaan hyväksikäyttää www-sivun ja html-sähköpostin kautta.
Haavoittuvuudelle ovat alttiita Firefoxin versio 1.0.6 ja sitä aikaisemmat, sekä 1.5 Beta 1 ja sitä aikaisemmat versiot. Lisäksi haavoittuvia ovat Mozilla Suiten versio 1.7.11 ja sitä aikaisemmat versiot ja Netscapen versio 8.0.3.3 ja sitä aikaisemmat.
Valmistaja on julkaissut väliaikaisen korjaustiedoston Firefox- ja Mozilla-selaimille. Väliaikainen korjaus poistaa idn-tuen. Väliaikaisen korjauksen voi ladata täältä.
Idn-tuen voi poistaa haavoittuvasta selaimesta manuaalisesti seuraavasti:
- Kirjoita osoiteriville "about:config"
- Etsi listasta "network.enableIDN" -parametri
- Valitse parametri hiirellä ja vaihda sen arvoksi "false"