İsrail merkezli firmanın web sitesinde yer alan Güvenlik Tavsiyesi‘ne göre, XML dökünaları web sunucudan alan bileşen olan XMLHTTP’yi kullanarak ve sunucu tarafındaki talimatları takip ederek, yerel dosyaların okunması mümkün olabiliyor.
Uyarıda “bir web sayfasını açarken, yerel bir dosyaya yönlendirme yaparak Mozilla’yı yanıltmak mümkün oluyor. Ondan sonra responseText özelliğini kullanarak dosyanın içeriğini okumak mümkün oluyor” yazıyor.
GreyMagic Windows2000 ve NT4 kullanarak hem Netscape 6.1 ve 6.2’yi, hem de Mozilla 0.9.9 ve sadece NT4 için 0.9.7’yi test ettiğini belirtiyor.
Bu uyarı, 15 Aralık 2001’de bir Alman ISS firmasının yayınladığı bir maile dayandırıldı. Bu mailde Microsoft’un Internet Explorer’ında da aynı tip XMLHTTP açığı vardı. Ancak Microsoft bu açık için Şubat sonlarında yama yayınladı.
Netscape henüz bu açık için bir yama yayınlamış değil. GreyMagic Security kullanıcılara daha iyi performansı olan ve daha az açık taşıyan tarayıcı bulmalarını tavsiye ediyor.
GreyMagic, Netscape’in güvenlik açığı bulana 1000 $ önerdiği “Açık Ödül Programı – Bug Bounty Program”nı uygulamayacağını hissettiklerini söylüyor. GreyMagic, Netscape’i geçen hafta 2 kere aradıklarını ama geri dönüş alamadıklarını iletiyor.
Netscape yetkilileri konu hakkında yorum yapmaktan kaçındılar.
GreyMagic yazılım firmalarının güvenlik açıklarını bulan bir firma. Ancak Netscape açıklarını firmaya bildirim yapmadan pazara açıkladılar. Son olarak Microsoft’un Ofis Web Bileşenleri ile ilgili bir açık yayınlamışlardı. O zaman da firmanın yama çıkarmasından önce yayınlamışlardı. Neden olarak, Microsoft’un problemi araştırmasını bekleyemeyeclerini söylediler.