Le CERTA a publié un bulletin d'alerte concernant Firefox 2.0.0.5 et Netscape 9 (9b2 basé sur Firefox 2.0.0.4) concernant la faille partiellement corrigé par Firefox 2.0.0.5. Il donne comme solution provisoire de contournement :

5.1 Pour les utilisateurs

Le contournement provisoire consiste à désactiver l'appel par Mozilla Firefox d'applications externes pour mettre en œuvre certains protocoles.

  • dans la barre d'adresse de Firefox, taper about:config ;
  • dans le filtre, taper protocol pour obtenir la liste des options utiles ;
  • mettre les valeurs network.protocol-handler.external.XX (eg. network.protocol-handler.external.snews) ainsi que network.protocol-handler.external-default à "false" en double cliquant dessus ;

Un autre contournement moins contraignant consiste à forcer l'affichage d'avertissements en fixant les champs network.protocol-handler.warn-external.XX à "true".

Le CERTA rappelle également l'importance de vérifier les liens, de cliquer avec précaution, ou de taper manuellement l'adresse. Il est aussi recommandé de lancer le navigateur avec un utilisateur disposant de privilèges limités.

5.2 Pour les administrateurs

Adapter les règles de filtrage de contenu, en bloquant par exemple les chaînes de caractères mailto:%00, news:%00, nntp:%00, snews:%00 et telnet:%00.

CERTA, Bulletin d'alerte du CERTA : Vulnérabilité dans Mozilla Firefox, 27-30 juil. 2007