Het gevaar schuilt in de manier waarop Firefox omgaat met het 'jar:''-protocol, zo meldt The Register. Dit protocol is bedoeld voor het uitpakken van onder meer zip-bestanden.

Omdat de 'jar:' URL protocol handler de inhoud van de gecomprimeerde bestanden valideert, kan er volgens security-deskundigen een xss-aanval worden uitgevoerd op sites die gebruikers in staat stellen om bijvoorbeeld .zip- of .png-bestanden te uploaden.

Het gaat daarbij bijvoorbeeld om webmail-clients of diensten waarbij het mogelijk is om documenten met elkaar te delen. GNUCitizen heeft een proof of concept (poc) gemaakt die laat zien hoe het met behulp van deze truc mogelijk is om toegang te krijgen tot andermans contacten in Gmail.

Het beveiligingsbedrijf Secunia omschrijft het probleem als 'minder kritiek' (2 op een schaal van 5). Firefox-gebruikers die eventuele problemen willen voorkomen, doen er volgens Secunia verstandig aan om geen onbekende 'jar:'-links aan te klikken.

Bron: Techworld