Bulletin à destination du support jar: de Firefox 2.0.x
En l'occurrence, le problème résulte d'une erreur de validation du type de contenus définis par le standard MIME dans le cadre du recours au protocole jar, utilisé pour l'extraction du contenu d'un fichier compressé. Cette erreur peut être exploitée pour mener des attaques XSS (cross site scripting) via un lien jar: piégé proposant à l'internaute pris pour cible de charger sur des sites qui le permettent des fichiers non seulement au format jar, mais également zip que le protocole prend en charge voire des fichiers au format OpenDocument ou Microsoft OpenXML, pour rappel basés sur les formats zip et xml.
De façon plus explicite, un attaquant peut télécharger vers un site (upload) un fichier zip spécialement conçu. Lorsque l'utilisateur charge un URI jar: malicieux qui pointe vers ce fichier zip, du code arbitraire sera exécuté par Firefox. Ce code originaire du site qui aura permis son téléchargement sera ainsi exécuté dans un contexte à priori sûr et pourra par exemple accéder aux cookies de l'utilisateur y compris ceux d'authentification ou encore accéder à des informations communiquées via formulaire.
Côté utilisateur, pour éviter tout piège et en attendant la publication d'un correctif à destination de Firefox, il est recommandé de ne pas cliquer sur des liens jar: non sûrs proposés sur des sites suspects. Par ailleurs, si Firefox est pointé du doigt, la responsabilité de certains sites eux aussi vulnérables ne fait pas l'ombre d'un doute.
N.B : l'extension NoScript offre pour Firefox une protection contre les attaques XSS.
