Med få dages mellemrum er der fundet sårbarheder i både Microsofts webbrowser Internet Explorer og i open source-konkurrenten Mozilla.
Ifølge det danske sikkerhedsfirma Secunia er samtlige versioner af Mozilla og dens lillebror Firefox sårbare, mens det for Internet Explorer kun drejer sig om version 6.
For Internet Explorer er sagen dog mere alvorlig, da der samtidig er mulighed for at snyde browseren, så den tror, at en hjemmeside ligger lokalt på computeren og ikke på internettet.
Endnu ingen rettelser
Det kan udnyttes til at slippe forbi de indbyggede sikkerhedsbarrierer, som sætter grænser for, hvad en hjemmeside må og ikke må, alt efter fra hvilken server den stammer.
Hverken Microsoft eller organisationen bag Mozilla har endnu udsendt fejlrettelser. I forvejen er Microsoft ved at undersøge mindst to andre sikkerhedshuller i Internet Explorer, som er langt mere kritiske end det nye spoofing-hul.
Sårbarhederne i de to browser-konkurrenter minder om hinanden, da de i begge tilfælde kan bruges til at forfalske indholdet i adresse- og statuslinjen.
Denne form for spoofing bliver flittigt udnyttet af svindlere i de såkaldte "phishing-angreb", hvor de for eksempel forsøger at lokke kontooplysninger ud af intetanende internetbrugere.
Lokker netbank-kunder
Det er flere gange gået ud over kunder hos den store internationale bank Citibank og hos Ebay og Paypal.
Ved at udnytte sårbarhederne i Explorer og Mozilla kan svindlerne få adresselinjen til at vise en adresse, som umiddelbart ser ægte ud.
Det vil sige, at svindlerne lokker en Citibank-kunde ind på en hjemmeside, som udgiver sig for at være en login-side til banken. Her bliver kunderne bedt om at indtaste deres kontonummer samt brugernavn og adgangskode til netbanken.
I adresselinjen står der umiddelbart en webadresse, som tilhører Citibank, men som i virkeligheden er en falsk adresse.
Relevante links fra Computerworld Online Sikkerhed:
Mozilla browser adressebar spoofing-svaghed
Internet Explorer omgåelse af sikkerhedszone og adressebar-spoofing
