なんかMozillaベースのブラウザにjarに脆弱性が存在してクロスサイトスクリプティングができるそうです。

US-CERTによると、脆弱性は、Mozillaベースブラウザがサポートしている圧縮ファイル解凍のためのjarプロトコルに関して指摘されている。

　攻撃者が脆弱性のあるサイトに細工を施したアーカイブを置き、ユーザーがMozillaベースのブラウザでこのファイルを開くように仕向けることにより、この問題が悪用される恐れがある。

　攻撃者はユーザーがコンテンツを投稿できるサイトを使い、クロスサイトスクリプティング（XSS）攻撃を仕掛けることが可能になる。ユーザーがFirefoxのアドオンで悪質なURIを開いた場合、任意のコードを実行される恐れもある。

• やまがた２１日記より、jarでごにょごにょって、書き方みたいだ。

例えば、「jar:https://example.com/test.jar!/t.htm」 が example.com ドメインで実行されるらしい。 投稿サイトなどで危ないとされていますが、影響範囲は小さそう。

関連URL

• JAR: protocol vulnerability in Firefox, word processor applications reported – SecuriTeam Blogs