De bug kwam de afgelopen weken in het nieuws. Het gevaar schuilt in de manier waarop Firefox omgaat met het 'jar:''-protocol. Volgens security-deskundigen stelt het lek kwaadwillenden in staat om een xss-aanval uit te voeren op sites die gebruikers in staat stellen om bijvoorbeeld .zip- of .png-bestanden te uploaden. Daarbij valt te denken aan webmail-clients of diensten waarbij het mogelijk is om documenten met elkaar te delen.

Het lek werd al in februari ontdekt door Jesse Ruderman. Begin die maand werd de kwetsbaarheid gemeld bij de Bugzilla-database. Mozilla liet het lek tot nu toe liggen. Daar komt nu onder invloed van de recente publiciteit verandering in.

Bugjager Petko D. Petkov die de laatste maanden een groot aantal security-problemen in browsers in de schijnwerpers zette, besteedde er begin november aandacht aan in een blogposting. Vervolgens maakte een onderzoeker die gebruikmaakt van de nickname 'Beford', een proof of concept (poc) voor het lek. Deze poc toonde aan dat het mogelijk is om toegang te krijgen tot andermans contactenlijst in Gmail.

Het lek – volgens Mozilla is er eigenlijk sprake van twee bugs – zal worden gedicht in Firefox 2.0.0.10 die op dit moment wordt getest. Wie zich in de tussentijd wil beveiligen tegen misbruik, kan de laatste versie van de Firefox-extensie NoScriptinstalleren.

Bron: Techworld