Sammelmail
In einem Mail an die Full Disclosure Mailing-Liste legt der Sicherheitsexperte Michal Zalewski insgesamt vier bislang unbekannte Probleme offen: Zwei im Internet Explorer, zwei beim Firefox. Das gefährlichste davon betrifft den Microsoft-Browser.
Kritisch
So lässt sich die Domain-Policy von Internet Explorer 6 und 7 austricksen, mittels eines auf einer Seite eingebetteten Javascripts können Cookies einer anderen Seite manipulieren, auch können Formulareingaben verändert oder Code eingeschmuggelt werden.
IFRAM
Immer noch als schwerwiegend sieht Zalewski ein Cross-Site-Problem im Firefox an. Über einen Bug in der IFRAME-Implementation kann eine offene Seite die Formulareingaben auf einer anderen mitlesen und so eventuell sensible Daten ausspionieren.
Manipulationen
Außerdem ist Zalewski der Meinung, dass es beim Firefox zu einfach ist, die BenutzerInnen dazu zu bringen einer Abfrage zuzustimmen, und so unbemerkt Code unterzujubeln. Um seine Argumentation zu verdeutlichen, hat der Sicherheitsexperte eine Demonstration zur Verfügung gestellt. Bleibt noch ein Problem mit dem Internet Explorer 6, über das sich die URL-Zeile manipulieren lässt, eine Möglichkeit um etwa Phishing-Attacken zu verschleiern.
Auslesen