В браузере Mozilla недавно были обнаружены две уязвимости, связанные с работой механизма определения подлинности сайтов. В коде, отвечающем за проверку сертификации, были найдены ошибки, унаследованные еще от браузера Netscape, в котором они таились еще с версии 4.0. Так что можно сказать, этим недоработкам исполнилось уже шесть-семь лет.

Первая уязвимость позволяет любой веб-странице получить статус "зоны доверия", позаимствовав его у другого сайта. Эта проблема связана с тем, что браузер при открытии страницы первым делом обращается к данным, сохраненным на жестком диске, и при определенных условиях использует их вместо загруженных из интернета. Манипуляция с этими данными дает возможность сторонним страницам унаследовать статус от ранее посещенных сертифицированных сайтов.

Вторая уязвимость позволяет симулировать ошибки типа "отказ в обслуживании": неправильный сертификат, подменив в кэше браузера нормальный, может вызвать появление сообщения об отказе в доступе при посещении сертифицированных сайтов.

Разработчики Mozilla сообщают, что эти ошибки не критичны, но факт их обнаружения в коде, унаследованном от Netscape, был достаточно неожиданным и должен послужить поводом для обращения дополнительного внимания на безопасность, в том числе и в старом коде. Как оказалось, проверка временем - не лучшая проверка. Заплатки или новые версии браузеров на основе Mozilla будут выпущены в скором времени.