Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 21/11/2007
Der er et sikkerhedshul i behandlingen af Jar-arkiver i Firefox. Det ventes rettet i næste version.Jar-arkiver (Java Archive) er komprimerede arkiver, der kan indeholde flere filer. Firefox kan åbne en bestemt fil inde i et Jar-arkiv med en URL, der starter med teksten "jar:"
Tre sikkerhedsforskere har opdaget problemer med funktionen. Således kan metoden bruges til at åbne enhver Zip-fil. En angriber kan derfor placere en Zip-fil på et websted, som brugeren har tillid til. Med en Jar-URL kan han så bede Firefox åbne en skadelig fil inde i Zip-arkivet.
Der findes et eksempel på et angrebsprogram, som udnytter sårbarheden til at få adgang til en persons kontaktpersonliste i Gmail.
Fejlen blev oprindelig opdaget i februar, men den har for nylig vist sig at være farligere, end man først troede. Mozilla, der udvikler Firefox, regner med at løse problemet i Firefox 2.0.0.10.