Feil funnet i både Firefox 2 og IE7

Sikkerhetsgranskere varsler om nye sårbarheter i de helt nye nettleserne fra Mozilla og Microsoft.

Selv om både Microsoft og Mozilla melder om at deres respektive, nye nettlesere er usedvanlig godt testet før utgivelsen, er det allerede blitt funnet flere små sårbarheter i begge.

Den første sårbarheten i Internet Explorer 7 ble varslet allerede før det var gått en halv dag etter utgivelsen av nettleseren. Microsoft hevder at sårbarheten egentlig befinner seg i Outlook Express, men så lenge det er IE7 som er angrepsvektoren, mener sikkerhetseksperter at også nettleseren har en sårbarhet.

I går meldte Secunia om en ny sårbarhet i IE7. Denne regnes som lite alvorlig, men kan gjøre det enklere for ondsinnede å gjennomføre phishing-angrep. Problemet skal være at det er mulig å vise et popup-vindu med et noe forfalsket adressefelt, hvor et antall spesielle tegn er blitt lagt til URL-en. Dette gjør det mulig å vise bare en del av adressefeltet, noe som kan narre brukere til å utføre visse utilsiktede handlinger.

Secunia har publisert en demonstrasjon av sårbarheten på denne siden.

En svakhet, hvis man kan kalle det for det, ved sårbarheten, er at hele adressen vises når man klikker på det aktuelle vinduet eller i adressefeltet. Spørsmålet er hvor ofte brukerne faktisk kaster ett blikk på dette feltet.

På grunn av den nye anti-phishing-løsningen i IE7, vil ikke nettsteder kjent for å bedrive phishing eller andre former for svindel kunne utnytte sårbarheten. I stedet vil brukeren varsles.

    Les også:

Også i Mozillas nye Firefox 2.0 er det blitt oppdaget nye feil. Disse er blitt varslet i e-postlisten Full Disclosure, men selskapets sikkerhetssjef, Window Snyder, avviser overfor News.com at disse utgjør noen risiko for brukerne.

Én av sårbarhetene skal være en feil som er blitt fjernet fra Firefox 1.x på et tidligere tidspunkt. Snyder, som har fortid som både hacker og sikkerhetsekspert i Microsoft, sier at feilfiksen fortsatt er på plass, men at problemet er relatert til denne. Feilen kan i verste fall utnyttes i tjenestenektangrep, som kan få nettleseren til å krasje.

En annen melding beskriver ifølge News.com at en feil som kan utnyttes i forbindelse med nettsvindel, men ifølge Snyder inkluderer den ikke nok informasjon til at Mozilla kan avgjøre om det er et problem eller ikke.

Snyder sier at Mozilla vil se nærmere på sakene, men foreløpig betegner hun meldingene som «støy».

Til toppen