Die Schwachstelle erlaubt einem Angreifer, ohne das Wissen des Anwenders bösartigen Code auf dessen Rechner auszuführen. Sie wurde von dem Experten Tom Ferris entdeckt und auf seiner Web-Seite “Security Protocols” in einem Advisory beschrieben. Es geht um die Art und Weise, wie der Browser International Domain Names (IDNs) verarbeitet, die aus dem Sonderzeichen “-” bestehen. Die Mozilla Foundation hat bereits reagiert und einen Patch bereitgestellt.
Einen der Exploits hat der niederländische Informatikstudent Berend-Jan Wever in einem Beitrag für die Mailing-Liste “Full Disclosure” entwickelt. Er kommentierte seinen Erfolg: “Wenn ich es schaffe, ann es ein Hacker auch.” (ave)