Uno de los problemas, está relacionado con el manejador o protocolo “firefoxurl://”, que podría ser invocado por otro navegador, (se ha comprobado solo en Internet Explorer), mediante una línea de comandos arbitraria, para la ejecución de código.

Esto fue anunciado por VSAntivirus en el siguiente artículo:

Vulnerabilidad en Firefox explotada desde IE
http://www.vsantivirus.com/vul-firefox-cve-2007-3670.htm

Algo similar ocurre con el manejador “wyciwyg://”, que permite el acceso no autorizado a determinados documentos.

La mayoría de estas vulnerabilidades podrían permitir la ejecución remota de código. Otras, la falsificación del contenido de algunas ventanas, o la escalada de privilegios.

También es posible que el sistema deje de responder bajo ciertas condiciones.

Esta versión además, agrega soporte para cookies “HttpOnly”, un invento de Microsoft implementado desde el Internet Explorer 6 SP1, que dificulta el robo de cookies mediante ataques Cross-Site-Scripting (XSS). Esto hace inaccesible cualquier cookie así marcada, para cualquier secuencia de comandos generada desde el navegador.

Esta característica estaba anunciada para el próximo Firefox 3, y hasta ahora solo era posible mediante extensiones, pero ha sido agregada de forma nativa al Firefox 2.0.0.5.

Última versión NO vulnerable: