Sikkerhetshull i flere nettlesere
Ved å benytte seg av JavaScript, kan en allerede åpen nettside, ved å vite vindusnavnet til et vindu åpnet fra en annen nettside, ta over kontrollen over dette vinduet. Navnet til et vindu blir normalt oppgitt ved hjelp av
target
-modifikatoren i HTML.
Secunia har lagt ut en test som demonstrerer feilen, og endrer innholdet på et popup-vindu på den amerikanske nettbanken Citybank. Sikkerhetsselskapet har ikke lagt ut direkte informasjon om hvordan man utnytter hullet, men ved å se på HTML-koden bak sårbarhetstesten kan man lett se hvordan det er gjort.
Du kan ikke bli angrepet av dette angrepet dersom du lukker alle andre nettleservindu før du går inn på nettbanken din. Dette angrepet virker også bare så lenge siden du originalt fulgte linken fra fremdeles er åpen.
Dette sikkerhetshullet finnes i stort sett alle store nettlesere, inkludert Mozilla, Mozilla Firefox, Internet Explorer, Opera, Konqueror, Safari og Netscape. Det finnes foreløpig ingen patcher til noen av disse som løser problemet, selv om alle produsentene av disse nettleserne fikk beskjed om problemet allerede 19. november.
Kilde: Secunia