Firefox jest nadal dziurawy

Specjaliści poinformowali, że Mozilla nadal nie załatała dziury, która umożliwia przeprowadzenie ataku typu cross-site scripting (XSS) i np. kradzież haseł do takich witryn jak MySpace. – Mozilla Foundation wie o niej od początku roku, ale dotychczas nie została ona załatana- czytamy na stronie Arcabit.pl.Lukę wykrył na blogu Petko Petkov. Jest to błąd związany jest z protokołem jar, opracowanym przez Sun’a. Całość opisana jest przez specjalistów n
n
Błąd daje dostęp do plików archiwum Javy za pomocą konstruktu typu: jar:http://www.foo.com/bar/baz.jar!/COM/foo/Quux.class. W przykładzie tym http://www.foo.com/bar/baz.jar opisuje ścieżkę do archiwum, a !/COM/foo/Quux.class – ścieżkę do pliku.n
n
Archiwum jest przechowywane w pliku .zip, a protokół obsługuje nie tylko pliki Javy, można uzyskać dostęp do innych plików: jar:https://example.com/test.jar!/t.htm. Tutaj t.htm jest wyświetlany w przeglądarce tak, jakby pochodził z domeny example.com.n
n
W ten sposób można oszukać filtry JavaScript używane na takich stronach jak . Sprawdzają one bowiem tylko zawartość samej witryny, a nie przesyłanych na serwer plików.n
n
Wystarczy więc odpowiednio spreparowany adres URL i dzięki temu można odczytać informacje wprowadzane w formularzach na różnych witrynach. Jak zawsze w takich przypadkach zalecana jest wtyczka , która uchroni przez niepożądanymi działaniami.