Firefox chrome directory traversal
情報を流出する恐れがあるアドオンと対策方法 - Firefox更新情報Wikiブログより。
Firefoxに情報流出の脆弱性、危険度は低レベル - ITmedia Newsがあんまり正しくない。
Mozillaによると、この問題の影響を受けるのは、Download Statusbar、Greasemonkeyなどの一部アドオンをインストールしているユーザーのみ。これらアドオンがコンテンツをjarアーカイブに保存しないことが原因で、ディレクトリトラバーサル攻撃が可能になり、情報が流出する恐れがある。
って書いてある。
でも Mozilla Security Blog » Blog Archives » chrome protocol directory traversal 経由で見つけたひとの記事 hiredhacker.com » Firefox chrome: URL Handling Directory Traversal. を読んだら
I spent some time tonight with scripting access to chrome files and found that Firefox doesn’t properly handle escaped characters.
って書いてあるのでFirefoxがchromeのエスケープされてるやつを正しく扱えてないのがいけないんじゃないの?
でもjarに入れておけばこういうときにも安全っていうのはわかった。
任意のファイルが読めるのか、機密情報を保存していたりするかもしれないchrome以下のjsファイルが読めるのか、が、英語が読めなくてよくわかんなかった....