据安全公司F-Secure发表的一篇博客称，该公司的研究人员在美国东部时间星期三早上大约5点钟至少发现了四个不同的携带代码的帖子。

　　这种攻击是以弹出式对话框的形式出现的。当浏览者访问Netscape.com网站的某些网页时就会遇到这种对话框。F-Secure公司网站发表的截屏图像显示了这个弹出对话框的信息。那个信息是“Tom Way是目前在世的最性感的男人。到这个网站来。向到这里的所有的人问好”。

　　Netscape发言人Andrew Weinstein说，这个问题涉及到一种允许贴出JavaScript弹出式对话框的交叉脚本安全漏洞。在某种情况下，这种弹出式对话框能够把访问者重新引导到其它的网站。

　　Weinstein说，该公司在星期三上午很快发现并且修复了这个安全漏洞。他说，Netscape团队正在密切监视这个网站，查找其它的问题。但是，该公司没有收到任何用户受到某种形式的攻击的报告。

　　这家芬兰安全公司的研究经理Mikko Hypponen证实说，这种攻击特征与Netscape网站新推出的新闻服务中的交叉网站脚本安全漏洞是一致的。这个新闻网站模仿类似于Digg.com的社区新闻网站，让访问者推荐网络上的新闻。

　　Hypponen说，新的Netscape用户界面允许最终用户贴出HTML代码。这个代码能够让每一个人都看到。这种功能可以让用户在Netscape.com网站的公共网页上输入脚本代码和潜在的恶意内容。

　　Hypponen表示，攻击者已经利用XSS安全漏洞向这个网站(包括公司的主页)的网页上注入他们自己的JavaScript代码。

　　Hypponen说，在这个问题解决之前，任何懂得一点创建交叉角本安全漏洞的人都能够很轻松地伤害到Netscape网站的浏览者。

　　一个特别糟糕的情况是当这个问题与浏览器的安全漏洞结合在一起的时候，例如，利用IE浏览器中的Windows Meta File安全漏洞。在那种情况下，使用没有打补丁的计算机的Netscape网站浏览者可能使自己的计算机受到黑客的攻击。

　　Hypponen说，这种安全漏洞还可以被利用进行钓鱼攻击。

　　目前还不清楚Netscape是不是因为其有争议的网站重新设计而成为攻击的目标。上个月，Netscape改变了长期的模仿MSN和雅虎的门户网站设计。

　　虽然Netscape声称它的用户基本上都赞成这种改变，但是，Netscape用户Ernie Jenkins发起的一个网络请愿书对这个改变提出了抗议。到目前为止，已经有1431个用户在这个请愿书上签了名。

　　Weinstein说，请愿书中有关转变的语言似乎与Digg.com网站有关。因此，比较稳妥的推测是某些在网站上贴出那些代码的人是Digg的爱好者。

　　Hypponen补充说, “Netscape”新的Digg式的接口引起了人们的许多兴趣。显然是有人设法要扩大对用户控制的内容的限制。

文章转载地址：http://www.365master.com/kt_article_show.php?article_id=6679&categ_code=10041003