Hullet som gjør det mulig for uvedkommende å stjele til seg kredittkortopplysninger fra brukere av Netscape Communicator, tillater såkalt URL-juksing (eller web spoofing).
Dette tillater nettsteder med onde hensikter å lure web-brukeren til å tro at vedkommende befinner seg på en annen webside eller URL enn vedkommende egentlig gjør. Dette kan utnyttes ved at man leder brukere til å tro at de besøker for eksempel Boxman eller en annen nettbutikk, mens de egentlig er på en helt annet webside. Den som har laget denne web-siden kan da registrere hva brukeren foretar seg, for eksempel når vedkommende taster inn sine kredittkortopplysninger.
Det skal normalt være vanskelig å utføre URL-juksing uten at brukeren oppdager dette. Men et hull i Netscape JavaScript gjør at dette nå er temmelig enkelt. Trikset går ut på at man narrer brukeren til å tro at han har beveget seg til et kjent nettsted, selv om det faktisk bare er innholdet på nettstedet som blir vist frem. Den faktiske lokasjonen på weben er fortsatt den opprinnelige websiden. Skriptet som utnytter hullet endrer teksten i lokasjonsfeltet slik at det ser ut som om det er det kjente nettstedet man ønsker å besøke.
Ifølge Øivind Lunde, rådgiver i IT-sikkerhet ved Secure Computing AS, må man skru JavaScript helt av for å unngå dette. Han anbefaler likevel brukere av nettlesere til generelt å unngå å bruke lenkene på ukjente nettsteder.
- Skriv alltid inn lokasjonen manuelt eller bruk bokmerker, sier han i en e-post til digi.no
Følgende kode skal gjøre det mulig å utnytte hullet:
<SCRIPT>
function doit()
{
a.document.open();
a.document.write("<H1>Look at the location bar!<BR>");
a.document.write("<A HREF='http://www.whitehats.com/guninski'>Go
to Georgi Guninski's home page</A><H1>");
a.document.close();
}
function winopen() {
a=window.open("viewsource:javascript:location='http://www.yahoo.com'");
setTimeout('doit()',30000);
}
</SCRIPT>
<A HREF="javascript:void(0)" onclick="winopen()" onMouseOver="window.status='http://www.yahoo.com';return true">Follow this link to go to www.yahoo.com (or somewhere else)</A>
En peker til et nettsted som demonstrerer dette hullet finner du i spalten til høyre.
Dette hullet er blitt påvist på de nyeste utgavene av Netscape Communicator 3, 4 og 4.5. Trolig er også de eldre utgavene av disse versjonene utsatt.
Ifølge Lunde er Netscape blitt varslet om feilen og arbeider nå med en fiks. Denne skal bli klar i løp av mars.
