Готовящееся обновление браузера Firefox до версии 2.0.0.10 позволит избавиться сразу от двух ошибок в обработке протокола jar. Как сообщает The Register, на одну из ошибок обратили внимание только тогда, когда блоггеры привели примеры такого ее использования, при котором можно украсть чужие данные – к примеру, контакты Gmail.
Уязвимость возникает из-за того, что при обработке данных по протоколу jar (Java Archive) не выполняется проверка на MIME-тип данных. Соответственно, браузеру можно подсунуть ZIP-архив с любыми исполняемыми файлами внутри. Причем, Firefox будет считать их полученными из надежного источника.
Ошибка в обработке jar присутствует в Firefox для операционных систем Windows, Linux, и Mac OS X. С ней связана другая уязвимость, которой долгое время не придавали значения. Еще в феврале один из разработчиков Firefox Джесс Рудерман (Jesse Ruderman) заметил, что из-за некорректной работы jar и обработки URI можно загрузить на сайт вместо аватара или чего-то подобного исполняемый скрипт и получить ссылку на него, которая сработает в Firefox.
Ошибку так и не удалось тогда исправить и в ноябре хакер Петко Петков (в последнее время все чаще находящий разные уязвимости) опубликовал еще одно исследование проблемы. "Целью атак могут стать почтовые клиенты, системы совместной обработки документов и совместной работы в целом, а также почти все, что связано с Web 2.0", - писал Петков.
Почти сразу после этого хакер, известный как Beford, опубликовал в своем блоге пример того, как с помощью второй уязвимости украсть все те же контакты Gmail. Впрочем, он сам отмечает, что установка плагина NoScript способна обезопасить браузер пользователя. Этот же плагин советуют установить и разработчики Firefox, до тех пор, пока не выйдет версия 2.0.0.10.
