Jak wynika z publikacji Maksymiliana Arciemowicza, luka znaleziona w funkcji dtoa() istnieje w programach Thunderbird 2.x, kalendarzu Sunbird 0.9 oraz w przeglądarkach Flock (poniżej wersji 2.5.5) i Camino (poniżej 2.0.1). Poprzednio tą samą lukę zidentyfikowano w Firefoksie, Operze i Google Chrome.

Luka należy do szczególnie niebezpiecznych. Jako funkcja formatująca dtoa() może przyjmować odpowiednie symbole formatujące. Niestety napastnik może wysyłać niektóre z nich w ten sposób, że rozpocznie nadpisywanie tablic w programie, a to już prowadzi bezpośrednio do przemycenia szkodliwego kodu, który następnie może zostać wykonany. Sam błąd znany jest od początku lipca 2009 roku.

Jeśli chodzi o Thunderbirda, błąd zostanie wyeliminowany w wersji 2.0.0.24. Wersja 2.0.023 pojawiła się w sierpniu i do dziś nie została załatana, chociaż jest luka jest bardzo poważna. Każdy kto ma tylko taką możliwość, powinien czym prędzej przejść na wersję 3 tego klienta poczty elektronicznej.

Jednak sam program to nie wszystko. Narażeni są także użytkownicy wielu dodatków do tego programu, w tym Lightning 0.9 i ThunderBrowse 3.2.6.7.

Źródło: heise-online