В недавно выпущенном браузере Navigator 4.02 фирмы Netscape Communications были обнаружены три дефекта в блоке защиты данных, позволяющие с сервера Web-узла получать доступ к личной информации посетителя через его браузер.
Студент-старшекурсник Университета шт. Калифорния в Санта-Барбаре, специализирующийся на вопросах безопасности Интернета, заявил, что он обнаружил несколько «чрезвычайно опасных» дефектов.
Андре Дос Сантос, программист группы Reliable Software Group этого университета, сообщил, что три ошибки в реализации интерпретатора JavaScript, использованного в браузере Navigator, дают возможность любому узлу отслеживать режим использования браузера любым посетителем узла.
Руководители Netscape подтвердили наличие ошибок и сообщили, что исправили их, а результат можно получить на Web-узле компании уже с начала сентября.
Проблемы с JavaScript в браузере Navigator 4.02:
- Дефекты позволяют получать с сервера доступ к важной информации.
- Может быть нарушена безопасность.
- Некоторые ошибки перешли из версии Navigator 2.0.
Две из этих ошибок перешли из прошлой версии Navigator 4.01a и так и остались в Navigator 4.02, сообщил Дос Сантос.
Третья является специфичной для браузера Navigator 4.02, который был выпущен 1 августа, сказал Дос Сантос.
Перехватывая информацию с браузера Navigator, Web-узел может получать доступ к личным или финансовым данным, имеющимся в формах, заполненных при помощи браузера, а также собирать информацию о Web-узлах, ранее просмотренных при помощи этого браузера.
Это означает, что если пользователь послал по Сети какую-либо информацию, например имя, адрес, номера кредитных карточек, телефонные номера, банковские пароли, номера счетов, то эта информация может быть перехвачена сервером.
Возможности перехвата информации «ограничены только воображением злонамеренного создателя серверного ПО», — сказал Дос Сантос. Он назвал эти ошибки «очень, очень серьезными». Руководители Netscape, однако, классифицировали их как «умеренно серьезные».
Фирма Netscape уверяет, что источник проблем — единственная ошибка в JavaScript, обнаруженная в браузере Navigator 4.01a и затем вновь проявившаяся в версии 4.02. Одно исправление ликвидирует обе проблемы, заявили руководители фирмы.
По словам Дэниэла Клауссене, менеджера по продуктам серии Communicator, он и другие руководители Netscape говорили с Дос Сантосом.
Дос Сантос сказал, что поскольку он пришел к выводу, что эти ошибки очень легко использовать, то он согласен не оглашать подробности о своей находке.
Программист также заявил, что обнаружил ошибку и в более ранней версии Navigator 4.01a, и поместил несколько сообщений об этой проблеме по адресу http://www.cs.ucsb.edu./~andre