mboost-dp1

unknown

Nyt sikkerhedshul i Internet Explorer

- Via News.com.com - , redigeret af Net_Srak

Et nyt sikkerhedshul i Internet Explorer er blevet rapporteret af det danske sikkerhedsfirma Secunia, hvilket muliggør at gemme en falsk adresse URL under en anden.

Sikkerhedshullet opstår pga. en fejl i Internet Explorer, der ved indsættelse af specielle tegn i adressen, undlader dele af den rigtige adresse og derved kan man gemme en anden side under f.eks. microsoft.com. Bruger du Internet Explorer kan du teste fejlen her.





Gå til bund
Gravatar #1 - CableCat
11. dec. 2003 15:11
Er det ikke bare det gamle url trik som har virket i lang tid?

http://www.dr.dk%400217.0116.0241.0241/
Gravatar #2 - ada
11. dec. 2003 15:12
Som jeg sagde på comon.dk: (quote)
Jeg tuder snart.
Dette har været aktuelt siden Netscape Explorer's barndomstider hen over IE og igennem Mozilla osv osv.
Det er et trick som kan gentages på forskellige måder i alle browsere uanset version, pris, licens, navn, dato eller styresystemet det kører på.

kort sagt, det er et superuniverselt ikke-bug.
Gravatar #3 - Hell_Keeper
11. dec. 2003 15:12
Efter det nyhedsbrev, jeg modtog, jo.
#4 - 12. dec. 2003 09:03
Pointen er vist at man ikke kan se det på adressen.

F.eks. www.bgbank.dk er www.kodeordstyv.dk, uden snabela og alt det der.
Gravatar #5 - Gul
12. dec. 2003 09:03
#3 Øhh.. hvem var det til?
#4 tror også det var det der var humlen. I FireBird viser den hele stien, selv om der på testsiden (zapthedingbat.com) står at den kun skal vise microsoft.com.
Gravatar #6 - FISKER_Q
12. dec. 2003 09:07
Damn skulle lige til at skrive at det er ret gammel :P men i er alle sammen kommet mig i forkøbet :(
 
Gravatar #7 - TYBO
12. dec. 2003 09:11
FISKER_Q: er den faktisk ikke...læs #3.
I den gamle blev alt det efter @ også vist.
Gravatar #8 - Mr.Weasel
12. dec. 2003 09:15
Synes det er sjovt at Microsoft har kaldt måde hullet blev offenliggjort for uansvarligt, men samtidig vil de ikke komme med et patch før i januar. Det ville jeg næsten mene er mere uforsvarligt.

Efter hvad jeg kan forstå blev hullet offenligtgjort på bugtraq fordi Microsoft ofte har ignoreret fejl rapport folk har indsendt til dem. Man troede at Microsoft ville være hurtigere til at udvikle et patch hvis fejl blev smidt direkte ud på internettet. Det har jo så vist sig ikke at hjælp. Konklusionen må være at Microsoft åbenbart er ligeglad med sine kunders sikkerhed.
Gravatar #9 - FISKER_Q
12. dec. 2003 09:20
#8 de har allerede sagt at der ingen fejl som var "public knowledge" så derfor vil der ingen rettelser komme i December.
Så folkene har vel sikkert fået fri.

#7

Jeg har set flere sider som har lavet falske domæner for lang tid siden. Om fejlen eksisterer på andre browsere ved jeg ikke, men jeg ved hvertfald den har været der i ie i et stykke tid nu. Medmindre det har været udført på en anden måde selvfølgelig.
 
#10 - 12. dec. 2003 09:22
Jeg synes det er fint at hullet offentliggøres. Hovedparten af dem jeg kender opdaterer *aldrig* deres windows98/2000/xp. For dumt? Tja, med modem går det ikke. De folk der ikke er typiske besøgende herinde, er nærmest ligeglade med computere så længe den kører.

Til sidst lærer folk det vel, og henter patchen på mozilla.org :-)

Men jeg har da fået en til at omvende sig til Mozilla. Det skete efter jeg fandt et 'trojansk' porno-opkaldsprogram på hans maskine. (Heldigvis for ham bruger han ikke modem)
Gravatar #11 - FISKER_Q
12. dec. 2003 09:26
#10
Det er også derfor de er i gang med deres Windows Update package.

Når projektet kommer ud af betafase vil det blive muligt at få en cd fra microsoft med de nye opdateringer på.(ved ikke hvor tit den vil blive opdateret, men lige nu ser det ud til at være hver 3. måned)

Ved dog ikke hvorvidt det vil koste eller ej. Men indtil videre kanon god idé, selvom den nok skulle være kommet lidt tidligere.
 
Gravatar #12 - SmackedFly
12. dec. 2003 09:27
Tja, endnu en grund til at bruge OSS. For OSS miljøet kommer ikke ud med latterlige PR stunts, som f.ex. "der kommer ingen bug fixes i december". Det er klart at det selvfølgelig ikke direkte er en oss fordel, men mere et åndsvagt indlæg af MS. Men det er alligevel sigende for forskellen i prioriteter.
Gravatar #13 - FISKER_Q
12. dec. 2003 09:30
#12
Nu består hoveddelen af alt OSS også af friviligt arbejde. Jeg ved tror gerne at Microsoft ville acceptere at de enten kom tilbage på arbejde eller arbejdede overtid, hvis de har fået andre ordrer.

Men sådan foregår det ikke i den virkelige verden.

Jeg vil da fandme ikke misse min juleferie for at rette en eller anden fejl.
 
Gravatar #14 - sKIDROw
12. dec. 2003 09:30
Det er dybt uansvarligt ikke at informere folk så hurtigt som muligt, idet man med den viden i det mindste kan forholde sig til faren.
Om der så er udkommet en patch eller ej.
Microsofts politik gør mig harm!.
#15 - 12. dec. 2003 09:34
Nr. 11: jeg tvivler på min mor + bror + 1000 andre gider installere det. Man må huske på disse folk ikke går op i det. Det kan være mere end almindelig svært at få folk til at opdatere deres antivirus.

Nr. 12: For så vidt holder argumentet, men IE's store problem (dog ikke i dette tilfælde) er at man bruger samme program til filhåndtering og internet. Så skal det gå galt...
Gravatar #16 - sKIDROw
12. dec. 2003 09:37
#13 Fiskeren

[Nu består hoveddelen af alt OSS også af friviligt arbejde.]

Det gør det kun endnu mere prisværdigt, at vi få bedre betjening end dem, der har betalt væsentligt mere... ;)

[Jeg ved tror gerne at Microsoft ville acceptere at de enten kom tilbage på arbejde eller arbejdede overtid, hvis de har fået andre ordrer.
Men sådan foregår det ikke i den virkelige verden.
Jeg vil da fandme ikke misse min juleferie for at rette en eller anden fejl.]

Det må så være op til Microsoft at løse.
De har millionvis af betalende kunder verden over, det er et ansvar man burde respektere en del bedre.
Gravatar #17 - FISKER_Q
12. dec. 2003 09:37
#14
Enig, selvom dog jeg selv har lidt harme over at de viser hvordan fejlen udnyttes. Men jeg mener så derudover også at begge parter skal have lige store "chancer" i at få information.

#15
Deres problem, ikke Microsoft's
Kan man ikke tage det ansvar det tager og opdatere sit software som det behøves, så bør man ikke have lov til at være på internettet.

Edit: #16 Det kommer jo an på betalingen, men der havde nok heller ikke været tvivl om der var kommet frivilige rettelser hvis Windows var Open Source.

Det er op til Microsoft at løse, men det er sku nok et stort problem, hvis de allerede har givet dem fri. Så derfor har jeg ingen problemer med at tilgive dem i sådan et scenarie, selvfølgelig hjælper det ikke andre som bliver snydt af diverse sider :(
 
#18 - 12. dec. 2003 09:43
Nr. 17: man ku' også sige "Kører man windows, bør man ikke have lov til at være på internettet."
Gravatar #19 - FISKER_Q
12. dec. 2003 09:45
#18
god flamebait, er der nogle der bider?
 
Gravatar #20 - sKIDROw
12. dec. 2003 09:49
#17 Fiskeren

[Enig, selvom dog jeg selv har lidt harme over at de viser hvordan fejlen udnyttes.]

Ja man skal finde en naturlig grænse.
Man burde sagtens kunne informere om alvorlige fejl, uden at forsyne folk med et rootkit.

[Men jeg mener så derudover også at begge parter skal have lige store "chancer" i at få information.]

Jeps
Informer Microsoft og offentligheden samtidigt.
I fejlrapporten skriver man for en rimeligheds skyld, at microsoft også først lige er informeret... ;)
Gravatar #21 - sKIDROw
12. dec. 2003 09:51
#18

Opdatere man ikke mindst en gang om ugen, burde man ikke være på nettet... ;)
Gravatar #22 - Mazon
12. dec. 2003 10:10
FYI: Diverse Mozilla/Firebird og andre Necko brugende programmer er også semi påvirket, idet at addressbar er fin nok, men statusbar er påvirket:
http://bugzilla.mozilla.org/show_bug.cgi?id=228176
Gravatar #23 - Acro
12. dec. 2003 10:15
#8 @Mr.Weasel:
Forklar lige hvordan det her er en alvorlig sikkerhedstrussel som kræver første prioritet; det eneste scenarie jeg kan forestille mig er hvis man trykker på et link til eks. Windows Update på et websted der forsøger at kompromitere brugernes sikkerhed - og hvorfor i alverden skulle man være så dum!?
Gravatar #24 - annoia
12. dec. 2003 10:15
sKIDROw - Efter Debian blev angrebet kom der ikke opdateringer til arkivet i to uger... Skulle Debian-brugere så ikke have været på nettet?
Gravatar #25 - FISKER_Q
12. dec. 2003 10:34
#24
Nu tror jeg nok mere han mener mere "standard" brugere af et system.

Kender ikke lige noget til den fejl, men en admin kan for det meste låse sin box en del mere ned når det gælder *nix. Så at rent faktisk undgå fejlen vil jeg mene er størrere end hvis man har Windows.(Så vidt man ved hvad man gør)
 
Gravatar #26 - Bundy
12. dec. 2003 10:36
#8 "Konklusionen må være at Microsoft åbenbart er ligeglad med sine kunders sikkerhed."

JA det er flot konklussion, peabrain, de har jo næsten ikke relased noget patches OVERHOVEDET!
Gravatar #27 - Mr.Weasel
12. dec. 2003 10:38
#23 Hvorfor i alverden skulle man være så dum at tror på en Nigerian scam mail? Når det drejer sig om denne type ting skal man slet ikke undervurdere hvor dummme/uvidenende mennesker kan være. Nu er det jo så heller ikke det eneste hul i IE som Microsoft endnu ikke har rettet. Det er sådan set mest Microsofts politik om opdateringer én gang om måneden (Som nu åbenbart er en gang hver anden måned) jeg er efter, det er simpelthen ikke godt nok. Jeg ved at godt at mine forældre nok ikke lige får opdateret deres computer hver dag, eller hver uge for den sags skyld, men system administratorer bør selv kunne vælge, det kan de ikke nu, det har Microsoft gjort for dem. Jeg ville ikke være tryg ved at kører et stort netværk med et par hundrede Windows maskiner og vide at der er et sikkerhedshul i hver eneste, men der er ikke noget jeg kan gøre ved det. Jeg undre mig meget over at deres kunder finder sig i det. I de sidste par uger har vi jo så også set at Apple har samme problem med hemligholdelse og hastighed. Hvordan kan det være at du er bedre stillet ved at vælge en open source løsning, fremfor et kommercielt produkt til overpris?

Microsoft var ude i november eller oktober og påstå at Microsoft rettede fejl hurtigere end open source miljøet, det ser vi jo så nu at det er løgn.
Gravatar #28 - gasjack
12. dec. 2003 10:39
Nu snakker folk om at det er synd hvis de skal bruge deres juleferie på at rette den fejl...
Seriøst, hvor mange linjer kode tror i der skal rettes for at få adresselinjen til at vise hele adressen? Det burde sgu da kunne laves af en mand på en fredag eftermiddag (med en øl i hånden) :-)hvis de da bare har nogenlunde styr på koden.
Gravatar #29 - ZenteRioN
12. dec. 2003 11:11
#27 Jeg vil nu hellere have en opdatering til Windows 1 gang om måneden, der virker 100% i stedet for de smider opdateringer ud i hovedet på en de alligevel bliver nødt til at trække tilbage dagen efter, fordi de ikke virker.

På en måde synes jeg det er forkert at folk hele tiden sammenligner Linux op mod Windows med attituden: "Du kan bare skifte til Linux, så er der ingen problemer". Det er også meget godt, men hvad nu hvis man ikke har noget som helst at bruge Linux til? Windows dækker mit behov 100%. Det er godt til multimedie, spil og internet. Problemet med Linux er at der er rigtig meget hardware det ikke understøtter, netop fordi producenterne af selv samme produkter lægger energien i Windows, fordi det er der kunderne er. Udbud og efterspørgsel. Efterspørgslen til Linux er ikke stor nok......endnu.
Gravatar #30 - Mr.Weasel
12. dec. 2003 11:11
#26 Fantastisk argument fra din side. Der er naturligvis kommet masser af patches fra Microsoft, det er slet ikke det jeg prøver at argumentere imod, jeg mener bare ikke de kommer hurtigt nok.

Jeg kan ikke lige se hvad det er du mener der er så fantastisk ved Microsoft måde at håndtere opdateringer. Hvis du ellers har sproget til at formulere det vil jeg da gerne høre dine argumenter.

#28 Hehe, opvejet mod hvor mange system administratorer der potentielt kunne ende med at sidde og rydde op efter indbrud i juleferien, så skulle man da tror at Microsoft kunne tage sig lidt sammen her i julemånenden.

#29 Jeg ser det ikke som Linux vs. Windows her, men mere som mangel på service. De fleste private vil har stor glæde af de store patches, men at nægte professionelle adgang til de individuelle patches mener jeg kan være et problem. Hele måden Windows er opbygget er grundlæggende forkert hvis et patch til IE eller Outlook kan ødelægge andre applikationer. Der må vi jo så sige at det ender med Unix design mod Windows, små enkelt stående dele er nemmere at patche individuelt.
Gravatar #31 - Ejvind
12. dec. 2003 11:14
Hvad er det for et hul? Min Avant browser viser da helt fint hele URL'en??

http://www.microsoft.com@zapthedingbat.com/securi...
Gravatar #32 - Ejvind
12. dec. 2003 11:15
hmm testede lige min IE og den har godt nok fejlen. Avant Browser rulezz...
Gravatar #33 - Pally
12. dec. 2003 11:17
#27:
Du er da selv fuld af løgn eller så checker du ikke dine 'facts'.

Citat fra omtalte artikel:
[Microsoft has hired several analysts to review how fast holes are patched in the open source software and is expected to announce that Windows compares favourably.

The strategy, called “Days of Risk”, measures the number of days it takes programmers to release a public patch after a vulnerability is revealed. While high-profile holes in Linux and associated software tend to be swiftly dealt with, less prominent problems - which could be just as potentially damaging - can take weeks or even months to appear.

Microsoft’s aim is to undermine critics and place a question mark over Linux’s security by revealing that, on average, Windows poses less of a security risk.]

Så i modsætning til din påstand har MS intet påstået. De har igangsat en undersøgelse.

Ydermere så betyder vendingen "on average" at du vrøvler når du taler om enkelt fejl.
Gravatar #34 - SmackedFly
12. dec. 2003 11:17
Hvad er det folk er ude i nu. Synes i det er acceptabelt at MS bare giver sin fejlretningsafdeling fri i juletiden? Er i flippet ud?
Jeg har ingen ide om hvor mange programmører MS har, men det skulle være utroligt om de har givet hele deres stab fri i en periode hvor langt de fleste af os alligevel arbejder. Man giver altså IKKE sin fejlretningsstab fri i hele december for derefter at proklamerer at man ikke retter fejl i det måned!!! Så vil man IKKE sit eget bedste, man ligefrem hungrer efter vira/bug osv. problemer
Gravatar #35 - Pally
12. dec. 2003 11:38
34:
Nu er en løsrevet kommentar fra Fisker_q i indlæg #9 altså lidt tyndt at basere sig på.

MS har sgu da ikke sendt 'fejlretningsafdelingen' på ferie. Deres policy kører som normalt. Sakset fra MS selv:

[Microsoft had no security bulletins to release December 9, 2003, as part of its monthly release cycle for December. If the need arises for emergency patches, they will be issued outside the monthly releases.]

Så din kommentar om at [Man giver altså IKKE sin fejlretningsstab fri i hele december for derefter at proklamerer at man ikke retter fejl i det måned!!!] er fri fantasi (læs: pis og papir)
Gravatar #36 - FISKER_Q
12. dec. 2003 11:39
#34

Nej men de fejl dukkede også op EFTER skiftet til december.
 
Gravatar #37 - Mr.Weasel
12. dec. 2003 11:41
#33 Tjaa, hvis du mener det er facts, så okay. Personligt manglede jeg en hel del information i den artikel, Linux i sig selv har f.eks haft meget få sikkerhedshuller. Tager vi distributionerne som en helhed, nærmer vi os så noget der er korrekt, men man har bare stadig muligheden for at fjerne de programmer der er problemet, eller selv at rette dem (hvis man er en af de få med de evner). En problem i open source jeg gerne indrømmer er at mange af de mindre ting desværre kun bliver rettet fordi at RedHat, SuSE og andre har folk ansat til at rette dem. Men igen, du har betalt rimelig meget for Windows, burde man ikke forvente mere? Og tager du antallet af Windows installationer, så har Microsoft et noget større ansvar.

Script kiddies og cracker går ikke i hi julen over.
Gravatar #38 - Pally
12. dec. 2003 11:52
#37
Jeg har kommenteret flg fra dig:
[Microsoft var ude i november eller oktober og påstå at Microsoft rettede fejl hurtigere end open source miljøet, det ser vi jo så nu at det er løgn.]

Ved at læse pågældende artikel er det klart, at du enten ikke forstår den eller bevidst fejlciterer den.

Om den påståede analyse vil be- eller afkræfte Microsofts formodninger er en helt anden sag.
Gravatar #39 - sKIDROw
12. dec. 2003 11:53
#24 Annoia

[Efter Debian blev angrebet kom der ikke opdateringer til arkivet i to uger... Skulle Debian-brugere så ikke have været på nettet?]

Nu satte jeg så også tingene lidt på en spids.
Min pointe var nu mest at folk der skider på sikkerheden ikke bør være på nettet.
Her tænker jeg især på folk der aldrig eller yderst sjældent installere opdateringer.
Gravatar #40 - J23
12. dec. 2003 11:54
Hmm. Jeg bruger Crazy Browser (som er en add on til IE) og den har ikke fejlen =)
Gravatar #41 - toffe1001
12. dec. 2003 11:55
Men er det nu noget nyt... jeg spørger bare... :P
Gravatar #42 - SmackedFly
12. dec. 2003 12:02
#35

Lyder korrekt. Så misforstod jeg bare det, og tog det som faktum da fisker virkede som om han havde opfattet det på samme måde, undskyld på det område.
Men min pointe er sådanset god nok, at man har sendt sin udviklingsafdeling på ferie er ikke nogen god undskyldning, at det så ikke passer ind her er noget andet.

En anden ting er jo at Opensource jo ikke er non-kommercielt software, og at jeg meget gerne vil se sammenligningen ms kører efter, klart nok at Redhat har flere fixes end windows, men det er også svært at sammenligne pga. mængden af software, og pga. det faktum at vi ikke ved hvor mange små bugs microsoft fixer imellem deres release cycles, altså f.ex. imellem win2000 og winxp. Mit gæt er at det er RET mange. Og det må jo være det MS gerne vil ind til benet med omkring deres undersøgelse, altså hvor mange bugs der bliver fixet i de større release cycles. (f.ex. bug fixes imellem kde3.1 og 3.2)
Gravatar #43 - FISKER_Q
12. dec. 2003 12:07
#35 som jeg skrev "sikkert". uanset hvad, om de har fri eller sat på et andet projekt, så vil de stadigvæk ikke have tid til at lave patchen, medmindre de selv vælger at lave det.

Og om Microsoft så tillader det efter allerede at have sagt der ingen opdateringer vil komme i december er jo så det.

Det er ekstremt svært at bekæmpe fri vilje.
 
Gravatar #44 - sKIDROw
12. dec. 2003 12:14
#29

[På en måde synes jeg det er forkert at folk hele tiden sammenligner Linux op mod Windows med attituden: "Du kan bare skifte til Linux, så er der ingen problemer".]

Det er nu heller ikke overvejende det der bliver argumenteret.
Mere at man anbefaler folk at installere en rigtig browser istedet... ;)

[Det er også meget godt, men hvad nu hvis man ikke har noget som helst at bruge Linux til? Windows dækker mit behov 100%.]

Så skal du da bestemt heller ikke skifte.
Det frie valg inkludere jo også Windows.

[Problemet med Linux er at der er rigtig meget hardware det ikke understøtter, netop fordi producenterne af selv samme produkter lægger energien i Windows, fordi det er der kunderne er. Udbud og efterspørgsel. Efterspørgslen til Linux er ikke stor nok......endnu.]

De behøver ikke lægge nogen energi i Linux.
Blot at lade udviklerne få de nødvendige specs til hardwaren, så skal miljøet nok selv klare det problem... ;)
Det er det overvejende problem.
Hardware med hemmelige specifikationer, som kun udleveres under betingelser er er uforenelige med open source eller slet ikke.
Efterspørgslen er faktisk ret stor, noget jeg mærker til vore kom-i-gang arrangementer... :)
Gravatar #45 - Erroneus
12. dec. 2003 12:17
:23 meget let. Man har et link der peger på f.eks. microsoft.com . I adressebaren står der microsoft.com, siden ligner microsoft.com og virker som microsoft.com. Problemet er så bare at alle de ting man henter derinde, er fyldt op med vira, keyloggers, trojans osv. osv. sov.

Rigtigt mange vil hoppe på den der, selv mere erfarne brugere som måske godt kender forskel på http://www.microsoft.com@zapthedingbat.com/secu
rity/ex01/vun2.htm og http://www.microsoft.com , men som ikke lige har kigget efter på det link. Evt. kan linket i statusbaren skjules med noget javascript... :)
Gravatar #46 - Mr.Weasel
12. dec. 2003 12:18
#38 Efter at have genlæs en af artiklerne, må jeg nok hellere trække ordet løgn tilbage og erstatte det med tvivlsomt. Der er desværre kun tal på hvor open source software, i form af "weeks or even months". Igen gælder talene for alt software i RedHat 6, og Redhat indeholder som bekendt noget mere software en Windows.

Men jeg trækker ordet "løgn" tilbage.
Gravatar #47 - Bundy
12. dec. 2003 12:21
#30 well dit argument i din første post var jo ikke stort bedre.
Jeg synes nu tit at patches er hurtigt ude. Se f.eks alle de store huller der har været i diverse MS software, og som har ført til code red, blaster osv. Så vidt jeg ved var der en patch ude til de huller lang tid før virus/worm'en kom, og ikke frygtelig længe efter at exploiten blev opdaget. MS er et stort firma, der skal vel også lige lidt tid til at sætte gang i maskinerne. Du har ingen mulighed for at vide om der er en reel grund til at de ikke udgiver en patch lige nu og her. Jeg har lidt svært ved at se hvordan du kan konkludere at de ikke giver en skid for sikkerhed. Du kan have ret i at der nogengange går for længe, og deres update system måske ikke svarer helt til brugernes evne til at opdatere, men ligefrem at sige at de er ligeglad med sikkerhed, det holder ikke en meter.
Gravatar #48 - Mr.Weasel
12. dec. 2003 12:34
#47 De er jo nok ikke helt ligeglad, forhåbentligt, men de ser lidt stort på den indimellem, udskyder ting fordi de ikke lige vil være et problem for alt for mange eller fordi ingen har opdaget det endnu. Det faktisk netop pga. deres patches en gang om måneden jeg har den opfattelse. Det giver potentielt cracker og script kiddies op til en måned ekstra til at angribe mig, hvis det ikke er at se stor på sikkerheden så ved jeg snart ikke. Microsoft er jo heller ikke de eneste der har det svært med sikkerhed, mig bekendt er f.eks Sun heller ikke for hurtige og jeg har da indimellem været utilfreds med Debians hastighed.
Gravatar #49 - KimuSan
12. dec. 2003 13:12
Fejlen er ikke som mange siger, den gamle med at man kunne lave adresse om til et tal, og så udnytte den ved at skrive
http://www.microsoft.com@12334423432
hullet består i sin enkelthed i at internet explorer, og enkelte versioner af Mozilla firebird (bl.a. den til linux) læser %01 som enden på linjen og derfor ikke viser mere end hertil i adressefeltet.
derfor er det muligt at skrive
www.microsoft.com%[email protected] og så bliver ond-side.dk vist, men adressefeltet siger www.microsoft.com
Mulighederne for udnyttelse er mange, f.eks. kan man sende en falsk html mail, hvor hotmail.com er afsender. I denne kan man lave et link ala hotmail.com
Mailen behøver bare at sige noget med at man får et par gratis DVD'er eller noget, hvis man logger ind på sin konto.
På ond-side.dk har man så lavet en kopi af hotmails forside og så bare sørget for at login/password bliver gemt når man forsøger at logge ind. ved login forsøgt skal den komme med en fejl, og så redirecte til den rigtige hotmail.com. På denne måde vil andet forsøg lykkes, men du vil have klovnens password.
Simpelt, tåbelig, og forbandet farligt i de rette hænder.
At secunita påstår at de har rapporteret fejlen er dog en stor løgn (som så meget andet fra den side), da fejlen har været offentligt kendt i nogle måneder og også har været diskuteret på diverse sikkerhedsrelaterede lister gennem længere tid snart.
Dette er dog blot en ud af en lang liste af fejl i IE som endnu ikke er blevet rettet - og ikke engang en af de slemmeste.
Om de nogensinde bliver rettet - Jeg tvivler.
Fejlen er rettet i seneste source fra Mozilla folkene, så der vil hullet ikke være fremover.
Gravatar #50 - FISKER_Q
12. dec. 2003 13:15
#49 du står lige og siger at den fejl er flere måneder gammel, så har vi vel også ret?
 
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login