/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
IE7 sikkerhedsbrist
Fra : Morten Snedker


Dato : 27-10-06 11:01

Således fremstiller Secunia det selv på
http://secunia.com/internet_explorer_7_popup_address_bar_spoofing_test/

Men popup-vinduet (som er at finde som link på siden), fremkommer også
i FF og Opera.

Er der tale om et "hul", eller er det blot et firma, der vil promovere
sig selv?

...selvom jeg da godt kan se at effekten er uønsket, uagtet browser.


mvh
--
Morten Snedker
http://www.planprojekt.dk | http://www.dbconsult.dk
Privat: http://www.vinthervej2.dk

 
 
Christian E. Lysel (27-10-2006)
Kommentar
Fra : Christian E. Lysel


Dato : 27-10-06 11:27

On Fri, 2006-10-27 at 12:01 +0200, Morten Snedker wrote:
> Således fremstiller Secunia det selv på
> http://secunia.com/internet_explorer_7_popup_address_bar_spoofing_test/
>
> Men popup-vinduet (som er at finde som link på siden), fremkommer også
> i FF og Opera.

Ikke i min Firefox 1.5.0.7 og Opera 9.02, der står pænt og tydeligt
secunia.com som domain.



Morten Snedker (27-10-2006)
Kommentar
Fra : Morten Snedker


Dato : 27-10-06 12:44

On Fri, 27 Oct 2006 12:26:42 +0200, "Christian E. Lysel"
<sunsite.dk@spindelnet.dk> wrote:

>On Fri, 2006-10-27 at 12:01 +0200, Morten Snedker wrote:
>> Således fremstiller Secunia det selv på
>> http://secunia.com/internet_explorer_7_popup_address_bar_spoofing_test/
>>
>> Men popup-vinduet (som er at finde som link på siden), fremkommer også
>> i FF og Opera.
>
>Ikke i min Firefox 1.5.0.7 og Opera 9.02, der står pænt og tydeligt
>secunia.com som domain.

Det er korrekt. Jeg havde ikke lige bidt mærke i titel-linien.

mvh
--
Morten Snedker
http://www.planprojekt.dk | http://www.dbconsult.dk
Privat: http://www.vinthervej2.dk

Klaus Ellegaard (27-10-2006)
Kommentar
Fra : Klaus Ellegaard


Dato : 27-10-06 11:46

Morten Snedker <morten.snedker@planprojekt.dk> writes:

>Således fremstiller Secunia det selv på
>http://secunia.com/internet_explorer_7_popup_address_bar_spoofing_test/

Jeg vil ikke kalde det en sikkerhedsbrist. Det er snarere en
"hvis du ikke tænker dig om, kommer du galt afsted". Det er
jo tilfældet i mange sammenhænge, men almindelige brugere er
desværre ikke gode nok til at opdage dem.

Mvh.
   Klaus.

Peter Brodersen (27-10-2006)
Kommentar
Fra : Peter Brodersen


Dato : 27-10-06 14:57

On Fri, 27 Oct 2006 10:46:25 +0000 (UTC), Klaus Ellegaard
<klausellegaard@msn.com> wrote:

>>Således fremstiller Secunia det selv på
>>http://secunia.com/internet_explorer_7_popup_address_bar_spoofing_test/
>
>Jeg vil ikke kalde det en sikkerhedsbrist. Det er snarere en
>"hvis du ikke tænker dig om, kommer du galt afsted". Det er
>jo tilfældet i mange sammenhænge, men almindelige brugere er
>desværre ikke gode nok til at opdage dem.

Sikkerhedsbristen handler jo netop om opdragelse. Hvis IE7 bilder folk
ind, at de fx altid vil informere om lokaliteten ifbm. en popup, og de
ikke gør det (og dermed får folk til at tro på noget andet), så er det
et sikkerhedsmæssigt problem.

--
- Peter Brodersen
Kendt fra Internet

Peter Kruse (28-10-2006)
Kommentar
Fra : Peter Kruse


Dato : 28-10-06 06:52

"Morten Snedker" <morten.snedker@planprojekt.dk> skrev i en meddelelse
news:b4m3k2prjpf9cvrva6dlhhq7f87vca80lt@4ax.com...

Hej Morten,

> Således fremstiller Secunia det selv på
> http://secunia.com/internet_explorer_7_popup_address_bar_spoofing_test/
>
> Men popup-vinduet (som er at finde som link på siden), fremkommer også
> i FF og Opera.

Det er alene et spoofing issue og vil udelukkende kunne anvendes idet
øjeblik en bruger alligevel har bevæget sig ind på en fjendtligt webside.
Men når vi nu alligevel er i gang med sårbarheder i den nye IE7.0, så er der
netop publiceret en 0-dags sårbarhed i IE6 (som også omfatter 7.0 med få
modifikationer) som er langt mere alvorlig:
http://www.milw0rm.com/exploits/2629.

I IE6 vil exploitet fungere helt uden bruger interaktion, mens en
modificeret version af dette PoC vil fungere i IE7 hvis brugeren altså
tillader at det aktive indhold køres. Vi har smidt en flad demo (kopi af
PoC) op på vores webside for demonstration:
http://www.milw0rm.com/exploits/2629.

Venligst
Peter Kruse
http://www.csis.dk



Søg
Reklame
Statistik
Spørgsmål : 177580
Tips : 31968
Nyheder : 719565
Indlæg : 6409081
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste