Dziury w Netscape i Mozilli

Błąd w systemie zabezpieczeń przeglądarek Netscape Navigator oraz Mozilla może umożliwić hakerom odczytanie zawartości dysku twardego użytkownika. Izraelska firma Grey Magic Software, która wykryła lukę poinformowała również, że do wykorzystania tej "dziury" wystarczy umieszczenie odpowiedniego fragmentu kodu HTML na stronie internetowej.

Błąd w systemie zabezpieczeń przeglądarek Netscape Navigator oraz Mozilla może umożliwić hakerom odczytanie zawartości dysku twardego użytkownika. Izraelska firma GreyMagic Software, która wykryła lukę poinformowała również, że do wykorzystania tej "dziury" wystarczy umieszczenie odpowiedniego fragmentu kodu HTML na stronie internetowej.

Zdaniem przedstawicieli GreyMagic Software, błąd ten jest bardzo podobny do luki wykrytej niedawno w Internet Explorerze Microsoftu. "Dziura" w Netscape Navigatorze jest jednak nieco groźniejsza niż błąd w IE. W przypadku przeglądarki Microsoftu haker musiał bowiem znać nazwę pliku, aby uzyskać do niego dostęp – w Netscape hakerzy nie muszą spełniać takich "wymagań".

Specjaliści z GreyMagic Software twierdzą, że problem dotyczy polecenia XMLHttpRequest, które umożliwia przeglądarce wysyłanie i odbieranie danych XML za pośrednictwem protokołu HTTP.

Błąd polega na tym, że XMLHttpRequest nie sprawdza dokładnie wszystkich ustawień zabezpieczeń dla niektórych typów żądań pobrania danych, zgłaszanych przez stronę internetową. Dzięki odpowiednio spreparowanym poleceniom, "zaszytym" w kodzie HTML strony internetowej, haker może więc poznać zawartość dysku twardego ofiary.

Zdaniem GreyMagic Software błąd dotyczy Netscape Navigatora w wersj 6.1 i nowszych oraz przeglądarki Mozilla od wersji 0.9.7 do 0.9.9. Co ciekawe – Mozilla w wersji 1.0 Release Candidate nie jest "dotknięta" tą usterką gdyż, według GreyMagic Software, polecenie XMLHttpRequest nie działa w tej wersji przeglądarki poprawnie.

Izraelska firma skrytykowała jednocześnie Netscape za brak jakiejkolwiek reakcji na doniesienia o wykrytym błędzie. Na razie producent Netscape nie udostępnił patcha usuwającego usterkę.


Zobacz również