Dansk advarsel preller af på browserfirmaer

Det danske sikkerhedsfirma Secunia vil lade det være op til offentligheden at vurdere, om en funktion i alle førende webbrowsere er en sårbarhed. Funktionen kan let udnyttes til svindelangreb, men browserproducenterne vil ikke rette problemet.

9. december 2004 kl. 07.35

Øget svindel

Han forklarer, at han for tre år siden næppe ville have tænkt over, at funktionen udgjorde en sikkerhedsrisiko, hvis han dengang selv var stødt på den.

- I dag ser vi så mange eksempler på phishing, som vi ikke så før. Så det gør det nu ganske problematisk, siger Thomas Kristensen.

Svindel over internettet er eksploderet det seneste års tid. Typisk udnytter svindlerne en kombination af sikkerhedshuller i software og manipulation af brugeren.

Et typisk phishing-angreb starter med en mail, der ser ud til at stamme fra en bank.

Som regel hævdes det i mailen, at der er et problem med modtagerens kreditkort. Derfor skal brugeren klikke på et link i mailen for at løse problemet.

Linket fører til en webside, som er camoufleret som den ægte hjemmeside for banken. Her skal brugeren indtaste alle oplysninger, som svindlerne siden kan bruge til at tømme eksempelvis bankkontoen.

Offentligheden må tage stilling

Den aktuelle sårbarhed, som Secunia har fundet i markedets førende webbrowsere, gør det muligt at overtage et link til et popup-vindue på en legitim hjemmeside.

Derfor har selskabet valgt at kategorisere det sammen med de øvrige sårbarheder, der findes i softwaren.

Ingen af browserproducenterne har reageret på Secunias henvendelser. Selskabet har nu mistet tålmodigheden og offentliggør sårbarheden, selv om der ikke er frigivet en patch.

- Når producenterne ikke har taget det alvorligt, så nu må vi se, om offentligheden mener, at det er en sårbarhed, siger Thomas Kristensen.

En enkelt producent, norske Opera, har dog tilsyneladende fjernet sårbarheden i den seneste betaudgave.