Esto puede aprovecharse para situar una imagen válida, con una extensión de archivo arbitraria, e incluir código script en el escritorio engañando al usuario para que realice alguna acción de arrastrar y soltar.
El segundo de los problemas consiste en la no validación de cabeceras, cuando se arrastra una URL “javascript:” a otra etiqueta. Esta vulnerabilidad podría emplearse para ejecutar código HTML y script arbitrario en la sesión del navegador del usuario, en el contexto de cualquier otro sitio.
La tercera y última vulnerabilidad permite -mediante el uso de plugins y del filtro moz-opacity filter- cambiar determinados parámetros de configuración.
Esperemos que en breve Mozilla solucione estas vulnerabilidades
