Alvorlig nettsidehull oppdaget
Det er nylig blitt oppdaget en alvorlig sårbarhet i nettsider som skal berøre nettlesere som bruker DHTML, dvs en samling av flere teknologier som HTML, Javascript, CSS og Document Object Model.
Sårbarheten berører dermed nettlesere som IE, Firefox, Safari og Opera, men ikke nettlesere som lynx.
Fenomenet har fått navnet Clickjacking og meningen var å presentere saken på OWASP-konferansen, men nå er det bestemt at dette ikke skal gjøres av hensikten til sikkerheten. Det finnes nemlig ingen fiks for sårbarheten ennå.
Clickjacking kan på en enkel måte beskrives som kidnapping av lenker som surferen klikker på. En surfer kan bli berørt ved å besøke en skadelig nettside, og dermed kan en angriper ta kontrollen over hvilke nettsider som brukeren besøker.
Sårbarheten skal visstnok ikke ha direkte med Javascript å gjøre, men problemet kan likevel reduseres ved å deaktivere aktiv skripting/Javascript og plugin i nettleseren.
Problemet skal ifølge Robert Hansen, en av forskerne som oppdaget sårbarheten, være diskutert internt hos både Microsoft og Mozilla, og de skal ha konkludert med at det ikke finnes noen enkel løsning på saken.
Les mer om saken på ha.ckers.org og jeremiahgrossman.blogspot.com.
(Kilde: Zdnet blogs)
