Готовится к выходу обновление браузера Firefox до версии 2.0.0.10. В новой версии не будет старых ошибок, которые до сих пор устранить не удавалось. Это в первую очередь багги в обработке протокола jar. Выявилась ошибка благодаря блоггерам, которые продемонстрировали, как ее можно использовать для кражи чужих данный, в частности контактов Gmail. Ошибка в обработке jar присутствует в Firefox для Windows, Linux, и Mac OS X. Механизм действия таков: во время обработки данных по протоколу jar (Java Archive) не выполняется проверка на MIME-тип данных.
Следовательно, браузер будет воспринимать ZIP-архив с любыми исполняемыми файлами внутри как надежный.
Другая ошибка, которая тоже долгое время игнорировалась заключается в том, что из-за некорректной работы jar и обработки URI можно загрузить на сайт вместо аватара или чего-то подобного исполняемый скрипт и получить ссылку на него, которая сработает в Firefox. Ошибку обрнурежил один из разработчиков Firefox Джесс Рудерман, однако, она так и не была исправлена. По словам хакера Петко Петкова, данная уязвимость будет способствовать возникновению посягательств на почтовые клиенты, системы совместной обработки документов и совместной работы в целом, а также на почти все, что связано с Web 2.0. Механизм кражи данный с помощью второй ошибки выявил и хакер Beford. Он же отметил, что защитить данные можно с помощью плагина NoScript. Поэтому до выхода новой версии Firefox лучше пользоваться данным плагином.
