Jar troppo aperti per Firefox

Per quanto Firefox sia considerato sicuro, qualche piccola noia da sistemare esiste. Infatti è stato scoperto un problema nella gestione del protocollo jar, che permette di accedere direttamente ai file compressi in formato jar, appunto, e di eseguirne il contenuto, solitamente un software in Java.

La vulnerabilità è di tipo Cross-Site-Scripting, cioè permetterebbe a un sito di reindirizzarci su un altra pagina e leggerne il contenuto, riuscendo così a carpire delle potenziali informazioni riservate.

In particolare sarebbero a rischio gli account Google. La falla è particolarmente grave se si pensa che è possibile iniettare un Jar modificato in qualunque sito permetta l´upload di immagini senza controllarne il reale contenuto.

A dire il vero non si tratta di una scoperta recente: in quel di Mozilla ne sono al corrente dallo scorso febbraio, ed è quantomeno imbarazzante che il problema sia tornato alla ribalta solo nei giorni scorsi.

Per ora l´unica soluzione sicura è usare l´estensione NoScript (meglio la versione di sviluppo) che disattiva Java e Javascript globalmente, lasciando all´utente la scelta dei siti di cui fidarsi.