Java Schwachstelle im FireFox macht XSS möglich

An alle Benutzer des FireFox mal eine Warnung, damit man nicht auf Cross Site Scripts hereinfällt, die derzeit noch durch eine Schwachstelle im Protokoll Handler.jar möglich sind – diese ermöglicht einen Zugriff auf die Java Archive.

Zum Beispiel öffner jar:http://example.com/test.jar!/t.htm das File t.html aus der example.com im test.jar-Archiv und ermöglicht so ein Umgehen der Java Filter. Wenn man nun ein manipuliertes JAR Archiv auf einem Server aufruft – Hallo Spam & Co – kann der Cracker ohne Probleme ein XSS ausführen. Also in nächster Zeit etwas aufpassen, bis der Patch raus ist, auf welche Links man klickt und alles 3mal prüfen.

Danke für den Hinweis!

Wann wirds denn einen Patch als Update geben? Ich hoffe Mozilla findet da schnell eine Lösung - sowas kann ganz schön gefährlich werden.

Werde bei mir direkt mal Java deaktivieren und warten bis ein Patch rauskommt.

Sory ich weiß da nicht so bescheid. Was kann denn schlimmstenfalls passieren?

Mfg, der Ch4tter

Was kann denn schlimmstenfalls passieren?

Es kann eine kleine Java-Anwendung gestartet werden, die parallel zum Browser läuft und auf Webseiten eingegebene Daten nicht an das bestimme Ziel sondern an den Betrüger weiterleitet.
Also kann dein PayPal-Passwort ganz schnell woanders landen. Was das für Folgen hat, kann man sich wohl denken...

Es kann sein, dass Hacker den Schutz der JavaScript-Funktionen auf verschiedenen Seiten dadurch umgehen können und somit an sensible Benutzerdaten wie Name und Passwort gelangen könnten. Soweit ich gelesen habe wird das Problem erst mit dem Update auf Version 2.0.0.10 gelöst werden.
Bis dahin sollte man entweder JavaScript deaktivieren oder das Firefox Add-On NoScript verwenden.

EDIT: OK, da war tskowron wohl etwas schneller.