Das Problem tritt aufgrund des Umgangs mit der URL about:blank auf, die dafür vorgesehen ist, im Firefox eine leere Seite zu öffnen.
Dabei zeigt der „Feuerfuchs“ weder eine URL in der Adresszeile noch eine Information in der Titelzeile des Fensters an. Auch JavaScripts können solch eine Seite öffnen.
Weil about:blank keiner Domain zugeordnet und die document.location nicht definiert ist, lassen sich hier nun auch JavaScript-Funktionen einbauen, was bei „normalen“ Domains eigentlich nicht möglich ist.
Bis das Problem behoben ist, bleibt dem User nur das Abschalten von JavaScript oder der Einsatz des Plug-ins NoScript, das Scripting nur auf bekannten vertrauenswürdigen Seiten erlaubt.