Sikkerhetshullet med JavaScript tettes

I går gikk CERT ut og advarte mot nytt sikkerhetshull i nettleserne og Microsoft og Netscape følger opp med bugfixere. I mellomtiden kan du surfe med JavaScript aktivt og se hva det kan gjøre for deg.

Ute på nettet ligger det nå en webside, Tracker, hvor sikkerhetshullet blir demonstert. Besøker du siden med JavaScript funksjonen aktiv, følger scriptet deg til du lukker nettleseren. Scriptet fungerer slik at når en bruker besøker siden, tar et lite JavaScript vare på alle bevegelser på nettet og kan etterpå vise hvilke websider som er besøkt med nettleseren. Tastes brukernavn og passord inn på en webside, vil scriptet ta vare på opplysningene.

Representanter for Netscape sier at sikkerhetshullet med JavaScript er fikset i 3.02-versonen av Navigator som nå ligger ute på deres FTP-side. Brukere av Netscapes Communicator kan laste ned et tillegg som retter opp problemet i neste uke forteller Dave Rothschild i Netscape til Cnet. Problemet gjelder nettlesere på alle plattformer Netscapes produkter støtter, inkludert Windows, Mac og Unix.

Kevin Unangst, produktsjef hos Microsoft, forteller at feilen bare gjelder Windows95 og NT-versjoner av deres nettleser. Microsoft vil i neste uke legge ut en programpakke som fikser problemet i disse. De vil også inkludere et tillegg som retter feilen i den neste betaversonen av Internet Explorer 4.0, som etter planen er ute senere denne måneden.

Det var Bell Labs som i slutten av juni oppdaget feilen og rapporterte dette til Netscape, Microsoft og CERT (Computer Emergency Responce Team ved Carnegie Mellon University). Sikkerhetshullet lot JavaScript hente data rett ut fra HTMLforms før innholdet ble kryptert og sendt over nettet, slik at kryptering ikke har noe for seg, selv ikke når man brukte sikre protokoller som HTTPS.

Til toppen