Mozilla ha rilasciato una patch per Firefox che risolve il problema del gestore del protocollo "jar:". In un avviso di lunedì, Mozilla ha dichiarato: Lo schema jar: URI è stato introdotto come meccanismo per supportare digitalmente pagine Web firmate, consentendo ai siti Web di caricare pagine confezionate in archivi zip contenenti firme in Java-archive formato.
Mozilla ha rilasciato una patch per Firefox che risolve il problema del gestore del protocollo "jar:".
Lunedì in un avviso, Mozilla ha detto:
Lo schema jar: URI è stato introdotto come meccanismo per supportare pagine Web firmate digitalmente, consentendo ai siti Web di caricare pagine confezionate in archivi zip contenenti firme in formato archivio Java.
Jesse Ruderman e Petko D. Petkov sottolinea che ciò significa che i siti che consentono agli utenti di caricare contenuti binari in formato zip sono efficaci consentendo agli utenti di installare pagine Web sul proprio sito e queste possono essere utilizzate per eseguire Cross-Site Scripting (XSS) attacchi.
Il blogger di beford.org ha notato che reindirizza i browser Mozilla confusi sulla vera fonte del vaso: contenuto: si è ritenuto erroneamente che il contenuto provenisse dal sito di reindirizzamento anziché da quello reale fonte. Ciò significava che un attacco XSS poteva essere lanciato contro qualsiasi sito con un reindirizzamento aperto anche se non consentiva caricamenti. Una prova di concetto pubblicata dimostra il furto dell'elenco dei contatti di GMail degli utenti che hanno effettuato l'accesso a GMail.
Ryan ha riportato i dettagli su questo difetto, che esiste da febbraio, prima.
Anche in Firefox 2.0.0.10 Mozilla ha corretto alcuni altri elementi, incluso un difetto di spoofing del referer E vulnerabilità di corruzione della memoria. In tutto, Firefox ha risolto sei vulnerabilità.
Ryan è in vacanza.