Barrapunto

Según veo en los comentarios al bug #264388 [mozilla.org], parece ser que el fallo no implica que un atacante pueda introducir código malicioso. Es decir, Mozilla cascará y se cerrará, pero sin ejecutar ningún código maligno:

A '\' on the end will certainly trash memory, but at that point you're no longer reading attacker-supplied data; Are you claiming this is exploitable other than as a crash/denial-of-service? How would you do that?

The "commandSpecificData" passed to this function is a pointer into a string that was strdup()d in nsNNTPProtocol::ParseURL(). The URL parsed there was an allocated null-terminated string pulled out of the original content. Whatever might have been after the null in the original URL location is gone.

Traducción libre:

Un '\' al final hará un acceso no permitido a memoria, pero en ese momento ya no estás leyendo datos proporcionados por el atacante. ¿Estás diciendo que este fallo genera alguna vulnerabilidad aparte del bloqueo de la aplicación o denegación de servicio? ¿Cómo ocurriría?

El argumento "commandSpecificData" pasado a esta función es un puntero a una cadena obtenida mediante strdup() en nsNNTPProtocol::ParseURL(). La URL reconocida allí era una cadena terminada en null, en memoria recién reservada, sacada a partir del contenido original [de la página]. Cualquiera que sea la cosa que hubiera tras el null en la URL original [del código malicioso] se ha perdido.