绿盟安全月刊->第9期->安全新闻 Netscape正补救安全漏洞问题

出处：<< 计算机世界日报 >>
日期：2000-05-05


---- Netscape公司目前正在测试一对修补程序，以便用于修补其Communicator Web浏览器中新发现的安全漏洞，这些安全漏洞可暴露专用文件。
---- 这种易遭攻击性可让不友好的Web网站搜集访问者的私人信息，其中包括但不限于该访问者的书签。

---- Netscape公司和该故障发现者认为，这一问题并非影响Communicator的任何方面，但关系到一个技术组合，可使恶意Web操作员避开浏览器的安全检查。

---- 这些安全检查通常可防止Web作者使用JavaScript传送信息，误将信息从带有Web漫游者不严格的安全许可的一个画面(frame)传送到属于不友好Web网站的另一个画面。

---- 计算机用户可利用这些画面或全窗口来访问他们计算机上的局部文件，这就是为什么从本机磁盘打开的窗口有这些不严格的安全限制。跨画面的安全检查旨在保护这些窗口不被恶意Web网站劫持。

---- 但在故障搜寻者和反内容筛选激进主义分子Bennert Haselton展示的业绩(exploit)中，Web创作者可通过放在个人硬驱中的网上数据(cookie)而插入JavaScript代码。

---- 网上数据是文本文件，Web网站利用这些文本文件存储有关访问者的信息，以备将来参考。依靠网上数据的应用程序包括基于Web的电子邮件应用程序，这些应用程序使用该技术跟踪访问者注册帐号和购物手推车，看已有多长时间，以便记录购物者已选择购买的商品。

---- Netscape公司是America Online(AOL)的下属单位。该公司竭力淡化这一故障，将它的危害性减少到最低限度。Netscape还反对Haselton关于该漏洞可暴露用户高速缓存文件的说法。Netscape则进一步轻描淡写地陈述该漏洞的严重性，它指出，即使易受攻击的文件通过它也不可全部读出。

---- Netscape宣布它正在测试可能解决该问题的一对修正程序，该公司将把这对修正程序装到它的Communicator 4.7。Netscape建议，担心这一故障的用户或者关掉JavaScript,拒绝接收网上数据，或者选择仅接收可信来源的网上数据。