據(jù)安全公司F-Secure發(fā)表的一篇博客稱,該公司的研究人員在美國東部時間星期三早上大約5點(diǎn)鐘至少發(fā)現(xiàn)了四個不同的攜帶代碼的帖子。
這種攻擊是以彈出式對話框的形式出現(xiàn)的。當(dāng)瀏覽者訪問Netscape.com網(wǎng)站的某些網(wǎng)頁時就會遇到這種對話框。F-Secure公司網(wǎng)站發(fā)表的截屏圖像顯示了這個彈出對話框的信息。那個信息是“Tom Way是目前在世的最性感的男人。到這個網(wǎng)站來。向到這里的所有的人問好”。
Netscape發(fā)言人Andrew Weinstein說,這個問題涉及到一種允許貼出JavaScript彈出式對話框的交叉腳本安全漏洞。在某種情況下,這種彈出式對話框能夠把訪問者重新引導(dǎo)到其它的網(wǎng)站。
Weinstein說,該公司在星期三上午很快發(fā)現(xiàn)并且修復(fù)了這個安全漏洞。他說,Netscape團(tuán)隊(duì)正在密切監(jiān)視這個網(wǎng)站,查找其它的問題。但是,該公司沒有收到任何用戶受到某種形式的攻擊的報告。
這家芬蘭安全公司的研究經(jīng)理Mikko Hypponen證實(shí)說,這種攻擊特征與Netscape網(wǎng)站新推出的新聞服務(wù)中的交叉網(wǎng)站腳本安全漏洞是一致的。這個新聞網(wǎng)站模仿類似于Digg.com的社區(qū)新聞網(wǎng)站,讓訪問者推薦網(wǎng)絡(luò)上的新聞。
Hypponen說,新的Netscape用戶界面允許最終用戶貼出HTML代碼。這個代碼能夠讓每一個人都看到。這種功能可以讓用戶在Netscape.com網(wǎng)站的公共網(wǎng)頁上輸入腳本代碼和潛在的惡意內(nèi)容。
Hypponen表示,攻擊者已經(jīng)利用XSS安全漏洞向這個網(wǎng)站(包括公司的主頁)的網(wǎng)頁上注入他們自己的JavaScript代碼。
Hypponen說,在這個問題解決之前,任何懂得一點(diǎn)創(chuàng)建交叉角本安全漏洞的人都能夠很輕松地傷害到Netscape網(wǎng)站的瀏覽者。
一個特別糟糕的情況是當(dāng)這個問題與瀏覽器的安全漏洞結(jié)合在一起的時候,例如,利用IE瀏覽器中的Windows Meta File安全漏洞。在那種情況下,使用沒有打補(bǔ)丁的計算機(jī)的Netscape網(wǎng)站瀏覽者可能使自己的計算機(jī)受到黑客的攻擊。
Hypponen說,這種安全漏洞還可以被利用進(jìn)行釣魚攻擊。
目前還不清楚Netscape是不是因?yàn)槠溆袪幾h的網(wǎng)站重新設(shè)計而成為攻擊的目標(biāo)。上個月,Netscape改變了長期的模仿MSN和雅虎的門戶網(wǎng)站設(shè)計。
雖然Netscape聲稱它的用戶基本上都贊成這種改變,但是,Netscape用戶Ernie Jenkins發(fā)起的一個網(wǎng)絡(luò)請愿書對這個改變提出了抗議。到目前為止,已經(jīng)有1431個用戶在這個請愿書上簽了名。
Weinstein說,請愿書中有關(guān)轉(zhuǎn)變的語言似乎與Digg.com網(wǎng)站有關(guān)。因此,比較穩(wěn)妥的推測是某些在網(wǎng)站上貼出那些代碼的人是Digg的愛好者。
Hypponen補(bǔ)充說, “Netscape”新的Digg式的接口引起了人們的許多興趣。顯然是有人設(shè)法要擴(kuò)大對用戶控制的內(nèi)容的限制。
