早在今年2月份Firefox社区就报告了Firefox 2.0.0.10版本的地址栏存在JAVA缓存bug。该漏洞允许恶意攻击者利用隐藏在.jar文件中的跨站点脚本攻击代码进行攻击。这是因为.jar协议不仅限于打开.jar文件,还可以用来打开.zip文件,恶意代码可以隐藏在伪装成.jar文件的.zip文件中。
“简单的说,任何应用程序只要允许上传.jar或是.zip文件均容易受到潜在的威胁。”gnucitizen.org的安全顾问Petko Petkov表示,“例如Web邮件客户端,文档共享系统,协作系统,等等,这些WEB 2.0应用程序均可以成为攻击者的目标。”
Mozilla安全博客提醒现在此方法已经被证明可以通过Gmail获得受害人的联系人列表。据Mozilla表示,此次Firefox的浏览器升级程序已完全解决这个关于.jar/.zip文件的bug。
TAG:
评分(
