zajęcia oficjalnego stanowiska w tej sprawie.
Luka związana jest z protokołem jar, opracowanym przez Sun’a. Daje on dostęp do plików archwium Javy za pomocą konstruktu typu: jar:http://www.foo.com/bar/baz.jar!/COM/foo/Quux.class. W przykładzie tym http://www.foo.com/bar/baz.jar opisuje ścieżkę do archiwum, a !/COM/foo/Quux.class – ścieżkę do pliku.
Archiwum jest przechowywane w pliku .zip, a protokół obsługuje nie tylko pliki Javy, można uzyskać dostęp do innych plików: jar:https://example.com/test.jar!/t.htm. Tutaj t.htm jest wyświetlany w przeglądarce tak, jakby pochodził z domeny example.com.
W ten sposób można oszukać filtry JavaScript używane na takich stronach jak MySpace. Sprawdzają one bowiem tylko zawartość samej witryny, a nie przesyłanych na serwer plików.
W ten sposób napastnik może użyć odpowiednio spreparowanego adresu URL i dzięki temu odczytać informacje wprowadzane w formularzach na różnych witrynach.
Przed atakiem można zabezpieczyć się używając wtyczki NoScript. US-CERT zaleca też blokadę na firewallu wszystkich URL-i rozpoczynających się od jar.
Źródło: ArcaBit.pl