據安全公司F-Secure發表的一篇博客稱,該公司的研究人員在美國東部時間星期三早上大約5點鐘至少發現了四個不同的攜帶代碼的帖子。
這種攻擊是以彈出式對話框的形式出現的。當瀏覽者訪問Netscape.com網站的某些網頁時就會遇到這種對話框。F-Secure公司網站發表的截屏圖像顯示了這個彈出對話框的信息。那個信息是“Tom Way是目前在世的最性感的男人。到這個網站來。向到這里的所有的人問好”。
Netscape發言人Andrew Weinstein說,這個問題涉及到一種允許貼出JavaScript彈出式對話框的交叉腳本安全漏洞。在某種情況下,這種彈出式對話框能夠把訪問者重新引導到其它的網站。
Weinstein說,該公司在星期三上午很快發現并且修復了這個安全漏洞。他說,Netscape團隊正在密切監視這個網站,查找其它的問題。但是,該公司沒有收到任何用戶受到某種形式的攻擊的報告。
這家芬蘭安全公司的研究經理Mikko Hypponen證實說,這種攻擊特征與Netscape網站新推出的新聞服務中的交叉網站腳本安全漏洞是一致的。這個新聞網站模仿類似于Digg.com的社區新聞網站,讓訪問者推薦網絡上的新聞。
Hypponen說,新的Netscape用戶界面允許最終用戶貼出HTML代碼。這個代碼能夠讓每一個人都看到。這種功能可以讓用戶在Netscape.com網站的公共網頁上輸入腳本代碼和潛在的惡意內容。
Hypponen表示,攻擊者已經利用XSS安全漏洞向這個網站(包括公司的主頁)的網頁上注入他們自己的JavaScript代碼。
Hypponen說,在這個問題解決之前,任何懂得一點創建交叉角本安全漏洞的人都能夠很輕松地傷害到Netscape網站的瀏覽者。
一個特別糟糕的情況是當這個問題與瀏覽器的安全漏洞結合在一起的時候,例如,利用IE瀏覽器中的Windows Meta File安全漏洞。在那種情況下,使用沒有打補丁的計算機的Netscape網站瀏覽者可能使自己的計算機受到黑客的攻擊。
Hypponen說,這種安全漏洞還可以被利用進行釣魚攻擊。
目前還不清楚Netscape是不是因為其有爭議的網站重新設計而成為攻擊的目標。上個月,Netscape改變了長期的模仿MSN和雅虎的門戶網站設計。
雖然Netscape聲稱它的用戶基本上都贊成這種改變,但是,Netscape用戶Ernie Jenkins發起的一個網絡請愿書對這個改變提出了抗議。到目前為止,已經有1431個用戶在這個請愿書上簽了名。
Weinstein說,請愿書中有關轉變的語言似乎與Digg.com網站有關。因此,比較穩妥的推測是某些在網站上貼出那些代碼的人是Digg的愛好者。
Hypponen補充說, “Netscape”新的Digg式的接口引起了人們的許多興趣。顯然是有人設法要擴大對用戶控制的內容的限制。
