Mimo że Mozilla aktywnie pracuje nad trzecią wersją przeglądarki Firefox, nie zapomina o łataniu drugiej edycji tego popularnego „browsera”.

Mozilla Quality Assurance Community wezwało ochotników, aby ci pomogli testować Firefoksa 2.0.0.10 w wersji Release Candidate, którego premiera planowana jest na przyszły tydzień.

Najnowsza edycja zawierać będzie poprawkę do luki odkrytej już w lutym i dotyczącej plików .jar (Java Archive). Błąd umożliwia cyberprzestępcy na przeprowadzenia ataku typu cross-site scripting, ukrywając niebezpieczny kod w pliku .jar.

„W praktyce oznacza to, iż każda aplikacja, która pozwala na upload plików .jar lub .zip jest potencjalnie podatna na atak cross-site” - ostrzega w blogu Petko Petkow, założyciel gnucitizen.org. „Potencjalnymi celami tego typu ataków mogą być klienty poczty, systemy współdzielenia dokumentów oraz dowolna strona mająca cokolwiek wspólnego z Web 2.0” - dodaje.

Mozilla Security Blog podaje, iż luka została zademonstrowana na przykładzie usługi pocztowej Gmail jako sposób na „wyciąganie” z konta pocztowego ofiary listy kontaktów.