Søg

JavaScript kode siver ud på nettet

Software, der kan vende din browser mod dig, er lagt ud på nettet, efter den blev kopieret af en deltager, der var hurtig på aftrækkeren ved sidste måneds Shmoocon hacker-konference.

03. april 2007 kl. 16.01
Robert McMillan Robert McMillan

Computerworld News Service: Et farligt program er kommet i omløb på nettet, efter den i en vældig fart blev kopieret fornylig.

Softwaren hedder Jikto og er skrevet af Billy Hoffman, ledende forsker hos Spy Dynamics.

Han demonstrerede koden 24. marts som en del af en præsentation om farerne ved JavaScript-malware.

Virker som en scanner

Billy Hoffmans software virker som en slags scanner, der finder sårbarheder i JavaScript – et programmeringssprog der kan køre på alle browsere.

Teknikken lister sig uden om JavaScripts sikkerhedsrestriktioner, og fordi han var bekymret for at koden skulle blive misbrugt, tog Billy Hoffman også ekstra forholdsregler for at beskytte den fra at slippe ud.

Men for at demonstrationen skulle virke var han nødt til at bruge Jikto-koden.

"I få sekunder kunne vi se den originale URL til Jikto-koden,” siger Billy Hoffman.

Og det var nok for konferencedeltager Mike Schroll, som snuppede en kopi.

"Jeg sad ret tæt på scenen og havde allerede min laptop fremme,” siger Mike Schroll, der er sikkerhedskonsulent for Security Management Partners.

"I det øjeblik jeg så den, gik jeg bare i gang med at taste løs.”

Link på Digg.com[
Mike Schroll offentliggjorde koden på sin hjemmeside den 25. marts og lagde desuden et link til koden ud på Digg.com.

Han fjernede softwaren flere timer senere, fordi Billy Hoffman bad ham om det.

Mike Schroll siger, at han lagde koden ud, fordi han mener, at den er nyttig for andre sikkerheds-medarbejdere, der leder efter måder, hvorpå man kan illustrere, hvor farligt et script-angreb kan være.

"Jeg er selv ret interesseret i den, fordi vi nogle gange har at gøre med kunder, hvor vi laver falske phishing sider,” siger han. ”Jeg prøvede ikke på at være forbryderisk eller ondsindet.”

Hentet 100 gange

Softwaren blev hentet fra hans hjemmeside cirka hundrede gange, fortæller Mike Schroll.

Hen over weekenden er koden dukket op igen, denne gang på diskussionsforumet på Sla.ckers.org.

Nu hvor Jikto er offentligt tilgængelig, frygter sikkerhedseksperter, at koden bliver misbrugt af kriminelle.

"Lige præcis denne her kode er designet til at overtage en browser,” siger Jeremiah Grossman, teknisk direktør hos WhiteHat Security.

"Den vil kravle fra side til side og skanne dem og finde svagheder.”

Billy Hoffman er vred over udgivelsen af hans kode, men siger samtidig, at kriminelle kodere sikkert selv er i stand til at skrive noge,t der ligner hans korte 800-liniers applikation.

Han er dog ikke sur på Mike Schroll.

”Han gjorde det, som ethvert nysgerrigt menneske ville have gjort,” siger han.

”Jeg kan ikke rigtig bebrejde nogen for at være nysgerrige – det er jo det jeg selv lever af.”

Oversat af Ditte Thøgersen

Seneste nyt

|Vis seneste uge

Læses lige nu

    Annonce

    Computerworld Events

    Vi samler hvert år mere end 6.000 deltagere på mere end 70 events for it-professionelle.

    Ekspertindsigt – Lyt til førende specialister og virksomheder, der deler viden om den nyeste teknologi og de bedste løsninger.
    Netværk – Mød beslutningstagere, kolleger og samarbejdspartnere på tværs af brancher.
    Praktisk viden – Få konkrete cases, værktøjer og inspiration, som du kan tage direkte med hjem i organisationen.
    Aktuelle tendenser – Bliv opdateret på de vigtigste dagsordener inden for cloud, sikkerhed, data, AI og digital forretning.
    Cyber Security Summit 2026 - Aarhus

    Sikkerhed | Højbjerg, Aarhus

    Cyber Security Summit 2026 - Aarhus

    Lær om organisationers evne til at modstå, håndtere og komme videre efter alvorlige digitale hændelser, herunder ledelsesansvar, forretningskritiske afhængigheder og de valg, der afgør, om plan B holder, når systemer eller leverandører svigter.

    AI i det offentlige - Aarhus

    Digital transformation | Aarhus

    AI i det offentlige - Aarhus

    Hør hvordan offentlige AI-løsninger skaleres til stabil drift med reel effekt. Få erfaringer, arkitekturvalg og styringsgreb fra frontløbere. Lær at bygge fælles AI-infrastruktur med ansvarlighed, sikkerhed og compliance.

    Derfor skal du videre fra Dynamics AX – og sådan gør du

    Digital transformation | Køge

    Derfor skal du videre fra Dynamics AX – og sådan gør du

    Computerworld giver klar viden om vejen videre fra Dynamics AX. Du ser forskellen mellem AX og moderne cloud-ERP og får et konkret beslutningsgrundlag for næste skridt. Tilmeld dig og få styr på skiftet til Dynamics 365 FO eller BC.

    Se alle vores events inden for it

    Forsvaret

    Senior AI Architect til Forsvarets AI Center

    Københavnsområdet

    TV2

    iOS udvikler til TV 2 Teknologi

    Fyn

    KMD A/S

    Senior SAP Architect

    Københavnsområdet

    Netcompany A/S

    Erfaren Linux Operations Engineer

    Nordjylland

    Se flere it-stillinger

    Navnenyt fra it-Danmark

    Netip A/S har pr. 1. maj 2026 ansat Ida Hyllested Friis som Key Account Manager ved netIP's kontor i Thisted. Hun kommer fra en stilling som Key Account Manager hos Københavns erhvervshus. Nyt job

    Ida Hyllested Friis

    Netip A/S

    Sharp Consumer Electronics har pr. 1. april 2026 ansat Daniel Eriksson som salgsdirektør for de nordiske lande. Han skal især beskæftige sig med at accelerere virksomhedens vækst i Norden. Han kommer fra en stilling som nordisk salgsdirektør hos Hisense. Han har tidligere beskæftiget sig med detailhandel, kommerciel strategi og markedsudvidelser med bemærkelsesværdige resultater til følge. Nyt job

    Daniel Eriksson

    Sharp Consumer Electronics

    SAP SuccessFactors Partner Pentos har pr. 1. marts 2026 ansat Plamena Cherneva som Seniorkonsulent indenfor SuccessFactors HCM. Hun skal især beskæftige sig med konfiguration og opsætning af SuccessFactors suiten, samt udvikle smarte løsninger til mellemstore danske virksomheder. Hun kommer fra en stilling som løsningsarkitekt indenfor HR IT hos LEO Pharma. Hun har tidligere beskæftiget sig med HR procesdesign, stamdata og onboarding. Nyt job

    Plamena Cherneva

    SAP SuccessFactors Partner Pentos

    Jakob Dirksen, SVP, Nordic Customer Delivery & Operations hos GlobalConnect, er pr. 1. maj 2026 forfremmet til EVP, Infrastructure Delivery & Operations. Han skal fremover især beskæftige sig med at lede Infrastructure Delivery & Operations, der har til opgave at drive og udvikle fibernetværket på tværs af virksomheden. Forfremmelse

    Jakob Dirksen

    GlobalConnect

    Se mere fra navnenyt

    Computerworld

    Opinion

    Annonce

    Mest læste

    1 Teleselskaberne kaldt til krisemøde - står pludselig over for kæmpe-regning efter møde med Justitsministeriet
    2 Disse tre gadgets har fulgt mig igennem mit vægttab: Sådan har de fungeret og hjulpet mig
    3 Nørgaard: Apple er centrum i farlig måde at regulere på, der kun kan føre til dårlige ting - og jeg har endda prøvet det selv
    4 Microsoft forlænger igen support til Windows 10: Så længe kan du nu holde systemet i live
    5 Itm8 har tabt knap to milliarder kroner på fire år: Nu skyder ejeren penge ind
    6 Først lukkede USA for Anthropic-model: Nu presses OpenAI af Det Hvide Hus
    7 Norlys sælger Mjølner Informatics til konsulentgigant efter blot fire års ejerskab
    8 Sommerens bedste telefoner: Her er de fem bedste mobil-tilbud lige nu

    Se seneste uge