Bezpečnostní chyba, která se objevila v programech Internet Explorer, Firefox a dalších prohlížečích od výrobce Mozilla, zneužívá jejich špatné práce s JavaScript prvky. Útočník tak může spustit z počítače utajený upload (nahrávání soubrů z počítače na internet), čímž kompromituje uživatelova data.

Chybu opravíme někdy v budoucnu

Microsoft a Mozilla se však domnívají, že k útokům, které by byly zaviněny nedostatky v implementaci JavaScript prvků, nedojde. Útočník k jejich spuštění potřebuje "až příliš mnoho interakce s uživatelem". Společnosti proto nebudou popisovaný problém v nejbližších dnech či týdnech řešit. Obě však přislíbily, že bezpečnostní mezeru opraví v některé z příštích verzí prohlížečů.

"Využití této bezpečnostní mezery nedovoluje spustit zhoubný kód na napadeném počítači, únik informací z počítače může nastat jen při výrazné interakci s uživatelem," uvedl Microsoft ve vyjádření pro server News.com. Firma dodala, že chybu opraví v další verzi prohlížeče Internet Explorer.

Tiskové prohlášení Mozilly je tomu od Microsoftu velice podobné. Mozilla "bere všechna varování o bezpečnostních mezerách ve svých programech velice vážně", současnou chybu však opraví také až v "příštím vydání Firefoxu".

Bezpečnostní chyba je úzce spojena s funkcí JavaScipt "OnKeyDown". Útočník může vytvořit speciální webovou stránku, která potají zachycuje údery kláves a potvrzuje tak skryté okno, které následně spustí nahrávání dat z postiženého počítače. Před touto chybou varovaly společnosti Symantec a Secunia.

Aby však byl takovýto útok úspěšný, musí uživatel vypsat plnou cestu k datům uloženým v jeho počítači, které chce druhá osoba podloudně získat. Podle expertů firmy Symantec k tomu mohou být uživatelé přinuceni například webovými hrami, jenž budou vyžadovat stisky určitých kláves.

Unikátní závada

Bezpečnostní firmy se shodují v názoru, že je tato nová softwarová chyba poměrně unikátní, protože postihuje širokou škálu prohlížečů počínaje aplikací Internet Explorer, Mozilla Firefox / Mozilla Suite, ale také Netscape. Secunia hodnotí závadu jako "méně kritickou", firma ji tedy z hlediska nebezpečnosti ocenila dvojkou v pětibodové stupnici (pětka je hodnocením nejhorším).

Experti doporučují lidem opatrnost při vkládání dat do webových stránek, které příliš neznají.