Efter flere advarsler fra danske Secunia har Microsoft valgt at forberede en sikkerhedslapning, så det ikke længere er muligt at lave falske URL-adresser i browser-vinduet.
Ifølge nyhedstjenesten Cnet betyder rettelsen, at virksomheder ikke længere kan give medarbejdere, kunder og forretningsforbindelser enkel adgang til deres servere ved at skrive brugernavn og adgangskode ind i selve internetadressen, URL'en.
Den funktion benytter webudviklere i begrænset omfang, således at brugeren via et klik på linket automatisk logges ind på en ellers adgangsbegrænset side, eksempelvis et intranet.
Maskerer adressefeltet
Men problemet er, at denne feature ikke bruges til at lokalisere den specifikke webside. Derfor kan angribere maskere en del af URL?en, så folk tror, at de besøger et andet websted end det, som de rent faktisk har surfet ind på.
- Og det er rigtig skidt, for selv om du prøver på at finde ud af, hvilket websted du er på vej hen til, så er det ikke muligt, siger Russ Cooper, redaktør af sikkerheds-nyhedsbrevet NTBugtraq, til Cnet.
Sikkerhedsbristen fungerer på denne måde: Den faktiske URL, som vises i adressefeltet, når man klikker på linket, ser eksempelvis således ud: http(s)://username:password@server/ressource.ext.
Browseren benytter sig af den del af URL-linjen, som står til højre for @-symbolet til at finde den pågældende webside. Alt det, som står til venstre for @-tegnet, bruges til at validere brugeren.
Hvis der ikke findes en validerings-mekanisme på den side, som brugeren sendes til, så bliver starten af URL-linjen blot ignoreret. Linket www.computerworld.dk@pcworld.dk sender således ikke brugeren til Computerworld Online, men derimod til PC World.
Det er ingen katastrofe, hvis det - som i overnævnte tilfælde - er muligt at se, hvor man havner henne. Men angribere kan forfalske Internet Explorers adresselinie, så det ser ud, som om man rent faktisk befinder sig på det ønskede websted, selv om det ikke er tilfældet.
Rettelsen vil derfor ikke længere tillade, at password-funktionen bliver indlejret i URL'en. Den får derimod ingen indflydelse på den funktion, som brugeren kan udnytte til at lade Explorer gemme og huske et password til et givent websted.
Microsoft har endnu ikke sat dato på, hvornår den nye rettelse er tilgængelig, men har ifølge Cnet allerede nu adviseret webudviklere om, hvordan de kan arbejde med den nye ændring.
Torsdag advarede Secunia mod et andet hul i Internet Explorer, som gør det muligt at forklæde ondsindet kode som uskadelige filer.