Indhold
25. maj 1999: De nyeste Netscape-browseres håndtering af Javascript indeholder en fejl, der kan køre det muligt for andre at skaffe sig adgang til en brugers cache-filer og opsætning.
Ifølge Georgi Guninski, som før har afsløret sikkerhedsfejl i både Netscape og Internet Explorer, opstår problemet, hvis man placerer et Javascript i TITLE-feltet på en HTML-side.
Guninski har konstateret fejlen i flere 4.x-versioner, samt version 4.07 til Linux, men han mener, at den sandsynligvis findes i alle nyere browsere.
Scriptet udføres først, i det øjeblik, man kalder informationer om siden frem. Men det kan hackeren kontrollere ved at placere en bestemt kommando på siden, der kalder informationerne frem på samme måde, som "View/ Page Info" i menulinjen.
Konsekvensen er, siger Guninski, at man kan udføre scriptet, for eksempel i en HTML-formateret e-mail. Han siger, at foreløbig er den eneste løsning at forbyde afviklingen af javascript i sin browser.
- Problemet er, at koden afvikles på samme sikkerhedsniveau, som "about:"-kommandoen, giver lokal adgang til dokumenter og filer, for eksempel "about:cache" og "about:config", skriver Guninski i en meddelelse. "about:"-kommandoen skrives i adressefeltet, og giver adgang gennem browseren til forskellige informationer.
Guninski har lavet en demonstration af fejlen.
