La falla di sicurezza è stata scoperta da poco più di una settimana ma soltanto ieri il livello di pericolosità della stessa è stato elevato. Window Snyder, chief security officer di Mozilla Corporation, ha confermato la presenza della vulnerabilità in Firefox spiegando che potrebbe essere sfruttata da aggressori remoti per raccogliere informazioni sul sistema dell'utente, inclusi dati di sessione, cookie e cronologia.
Snyder, tuttavia, ha voluto chiarire che Firefox non è di per sé vulnerabile, almeno nella sua configurazione predefinita: "solamente gli utenti che hanno installato estensioni facenti uso di un pacchetto flat, piuttosto che di un singolo archivio in formato Java (.jar), sono potenzialmente a rischio".
Una lista parziale delle tantissime estensioni che utilizzano una struttura "flat" è stata pubblicata su Bugzilla.
Snyder ha invitato tutti gli sviluppatori di estensioni ad aggiornare le proprie estensioni creando pacchetti in formato Java Archive (.jar) così da renderle immuni al problema di sicurezza.
Contemporaneamente, da Mozilla si fa presente che la vulnerabilità sarà risolta con il rilascio della prossima versione di Firefox (2.0.0.12) il cui lancio è stato posticipato al prossimo 5 Febbraio.