In navolging van de uri-lekken die vorige week zijn ontdekt in Internet Explorer en Firefox, heeft Rios een nieuw lek ontdekt in Firefox 2.0.0.5 en Netscape Navigator 7. Op zijn blog waarschuwt Rios, beveiligingsconsultant bij Verisign, dat vele andere browsers ook kwetsbaar zijn. Hackersorganisatie Gnucitizen noemt het lek extreem kritiek.

"Ontwikkelaars die van plan zijn om uri's (uniform resource identifier) te registreren voor hun applicaties moeten begrijpen dat het registreren van een uri handler het aanvalsoppervlak voor die applicatie exponentieel vergroot", zo waarschuwt Rios op zijn site.

Firefox/Internet Explorer-ruzie

Eerder deze week werd al bekend dat Firefox, net als Internet Explorer, een opdrachtregel niet goed controleert voordat deze wordt doorgestuurd naar een protocol handler. Vorige week leek het er nog op dat deze fout alleen in Internet Explorer aanwezig was. Window Snyder van Mozilla sprak toen nog over een kritiek lek in IE.

Mozilla heeft erkend dat het lek ook in Firefox zit en heeft een fix geschreven om het probleem te verhelpen. Opvallend is overigens dat het lek nu op de bug-pagina van Mozilla, bugzilla, wordt aangeduid als 'normaal' en niet als kritiek.