Det danske sikkerhetsselskapet Secunia melder at Liu Die Yu, et navn ofte knyttet til avsløring av sikkerhetshull i Internet Explorer, har funnet enda en måte å knekke Microsofts nettleser.
Denne gangen dreier det seg om en svakhet i Internet Explorers oppdatering av URL-en som vises i nettleserens adresselinje, altså den linjen øverst i nettleservinduet der det for eksempel står http://digi.no/, og som bekrefter at du faktisk er innom digi.no og ikke en eller annen kopi.
Liu Die Yu har funnet at etter en bestemt serie med handlinger utført på et nettleservindu, blir ikke adresselinjen oppdatert. Du kan med andre ord være innom en helt annen tjeneste enn den som står på adresselinjen.
Denne typen sårbarhet er svært populær hos svindlere som driver med såkalt «fisking» («phishing») etter følsomme opplysninger, for eksempel ved å lure folk til å tro at de er innom sin nettbank eller en kjent nettbutikk, mens de i virkeligheten er betjent av et nettsted som er satt opp for å se ut som nettbanken eller nettbutikken, og som drives av kriminelle for å registrere det du har av kontonummer, brukernavn og passord.
Den aktuelle sårbarheten er ikke fikset av Microsoft, og heller ikke nevnt på selskapets sikkerhetssider.
Sårbarheten er bekreftet også på ellers fullt ut fiksede installasjoner av Windows 2000 SP4 og Windows XP SP1. Angrepsmetoden som fungerer mot disse installasjonene, greier derimot ikke å lure PC-er med Windows XP SP2.
Secunia har lagt ut denne lenken der du kan teste om din PC er sårbar eller ikke.
Sårbarheten er avhengig av Active Scripting, en egenskap som brukeren selv kan velge å deaktivere.
