Richard Smith fra Privacy Foundation har fundet et JavaScript-sikkerhedshul i Microsoft Outlook, Outlook Express og Netscape 6. Hullet gør det muligt at installere en skjult aflytnings-mekanisme i en e-mail i form af et JavaScript, der rapporterer tilbage til afsenderen, om modtageren har videresendt brevet.
JavaScript-hullet kan også bruges til at hente den tekst, som modtageren har skrevet i det videresendte brev. Hele den tekst, som tilføjes til en email som videresendes, kan ses samtidig med at modtageradressen af den videresendte e-mail kan aflæses.
Avisen "New York Times" skriver, at en ung mand har udnyttet tricket til at sende en jobansøgning med en vedhæftet CV. Den unge mand kunne herefter følge hvem der læste hans ansøgning og målrettet udnytte denne svaghed til at mønte hans jobsøgning mod relevante personer i en bestemt organisation.
Angrebsformen er døbt "reaper exploit" og bygger på et sikkerhedsproblem, som blev opdaget for to år siden. Postprogrammer som Eudora og AOL er ikke sårbare, og Microsofts Hotmail og de fleste andre webbaserede postsystemer fjerner automatisk JavaScripts i indgående e-mails.
Problemet kan løses ved at installere en lidt ældre patch til Outlook, der konfigurerer programmet, så scripts ikke bliver afviklet.
(Kilde: Virus112)
