Twee bugs zaten in de jar:URI protocol handler. De eerste meldingen zijn al van februari, maar het echte patchwerk begon pas drie weken geleden toen Petko Petkov aangaf dat een van de bugs een XSS aanval mogelijk maakt. De fout houdt in dat het protocol niet controleert of uitgevoerde bestanden daadwerkelijk .jar bestanden zijn. Niet veel later kwam een andere hacker erachter dat de jar-kwetsbaarheid gecombineerd met een bug in Gmail het mogelijk maakt om in te breken in adresboekjes.

Naast de verholpen jar:URI lekken heeft Mozilla fouten uit Firefox gehaald die het geheugen konden corrumperen, en hebben de ontwikkelaars een bug die cross-site request forgery mogelijk maakt verholpen. De patch is nu voor alle systemen te downloaden. Gebruikers worden de komende twee dagen via de automatische update van de browser op de hoogte gebracht. Bron: Techworld