Firefox dicht eindelijk lek in jar protocol
Gepubliceerd: Dinsdag 27 november 2007
Auteur: Michiel van Blommestein
Mozilla heeft een patch uitgebracht voor Firefox waarmee zes bugs worden verholpen.
Twee bugs zaten in de jar:URI protocol handler. De eerste meldingen zijn al van februari, maar het echte patchwerk begon pas drie weken geleden toen Petko Petkov aangaf dat een van de bugs een XSS aanval mogelijk maakt. De fout houdt in dat het protocol niet controleert of uitgevoerde bestanden daadwerkelijk .jar bestanden zijn. Niet veel later kwam een andere hacker erachter dat de jar-kwetsbaarheid gecombineerd met een bug in Gmail het mogelijk maakt om in te breken in adresboekjes.
Naast de verholpen jar:URI lekken heeft Mozilla fouten uit Firefox gehaald die het geheugen konden corrumperen, en hebben de ontwikkelaars een bug die cross-site request forgery mogelijk maakt verholpen. De patch is nu voor alle systemen te downloaden. Gebruikers worden de komende twee dagen via de automatische update van de browser op de hoogte gebracht.
Bron: Techworld
