Luka w firefokx'owej implementacji protokołu jar, o której informowaliśmy niedawno, jest poważniejsza, niż przypuszczano. Może ona zostać wykorzystana do przeprowadzenia ataku cross-site scripting i kradzieży haseł do takich witryn jak MySpace.

Początkowo myślano, że można ją wykorzystać tylko wtedy, gdy na serwerze, na którym znajduje się np. serwis społecznościowy, cyberprzestępcy umieszczą odpowiednio spreparowane pliki .zip lub inne archiwa.

Developerzy Mozilli poinformowali, że ataku można dokonać również wtedy, gdy ofiara zostanie przekierowana. Tak więc szkodliwe pliki można przechowywać na dowolnym serwerze i użyć ich podczas ataku. Wystarczy, by kod przekierowujący znalazł się w kodzie HTML. Cyberprzestępca może użyć też GMaila, który pozwala na przekierowania.

Developerzy Firefox'a zaprezentowali prototypowy kod, za pomocą którego byli w stanie zaatakować GMaila i zyskać dostęp do książki adresowej ofiary.

Dziura zostanie załatana w przygotowywanej właśnie wersji 2.0.0.10 Firefox'a.