---

Således fremstiller Secunia det selv på
http://secunia.com/internet_explorer_7_popup_address_bar_spoofing_test/

Men popup-vinduet (som er at finde som link på siden), fremkommer også
i FF og Opera.

Er der tale om et "hul", eller er det blot et firma, der vil promovere
sig selv?

...selvom jeg da godt kan se at effekten er uønsket, uagtet browser.


mvh
--
Morten Snedker
http://www.planprojekt.dk | http://www.dbconsult.dk
Privat: http://www.vinthervej2.dk

---

On Fri, 2006-10-27 at 12:01 +0200, Morten Snedker wrote:
> Således fremstiller Secunia det selv på
> http://secunia.com/internet_explorer_7_popup_address_bar_spoofing_test/
>
> Men popup-vinduet (som er at finde som link på siden), fremkommer også
> i FF og Opera.

Ikke i min Firefox 1.5.0.7 og Opera 9.02, der står pænt og tydeligt
secunia.com som domain.

---

On Fri, 27 Oct 2006 12:26:42 +0200, "Christian E. Lysel"
<sunsite.dk@spindelnet.dk> wrote:

>On Fri, 2006-10-27 at 12:01 +0200, Morten Snedker wrote:
>> Således fremstiller Secunia det selv på
>> http://secunia.com/internet_explorer_7_popup_address_bar_spoofing_test/
>>
>> Men popup-vinduet (som er at finde som link på siden), fremkommer også
>> i FF og Opera.
>
>Ikke i min Firefox 1.5.0.7 og Opera 9.02, der står pænt og tydeligt
>secunia.com som domain.

Det er korrekt. Jeg havde ikke lige bidt mærke i titel-linien.

mvh
--
Morten Snedker
http://www.planprojekt.dk | http://www.dbconsult.dk
Privat: http://www.vinthervej2.dk

---

Morten Snedker <morten.snedker@planprojekt.dk> writes:

>Således fremstiller Secunia det selv på
>http://secunia.com/internet_explorer_7_popup_address_bar_spoofing_test/

Jeg vil ikke kalde det en sikkerhedsbrist. Det er snarere en
"hvis du ikke tænker dig om, kommer du galt afsted". Det er
jo tilfældet i mange sammenhænge, men almindelige brugere er
desværre ikke gode nok til at opdage dem.

Mvh.
   Klaus.

---

On Fri, 27 Oct 2006 10:46:25 +0000 (UTC), Klaus Ellegaard
<klausellegaard@msn.com> wrote:

>>Således fremstiller Secunia det selv på
>>http://secunia.com/internet_explorer_7_popup_address_bar_spoofing_test/
>
>Jeg vil ikke kalde det en sikkerhedsbrist. Det er snarere en
>"hvis du ikke tænker dig om, kommer du galt afsted". Det er
>jo tilfældet i mange sammenhænge, men almindelige brugere er
>desværre ikke gode nok til at opdage dem.

Sikkerhedsbristen handler jo netop om opdragelse. Hvis IE7 bilder folk
ind, at de fx altid vil informere om lokaliteten ifbm. en popup, og de
ikke gør det (og dermed får folk til at tro på noget andet), så er det
et sikkerhedsmæssigt problem.

--
- Peter Brodersen
Kendt fra Internet

---

"Morten Snedker" <morten.snedker@planprojekt.dk> skrev i en meddelelse
news:b4m3k2prjpf9cvrva6dlhhq7f87vca80lt@4ax.com...

Hej Morten,

> Således fremstiller Secunia det selv på
> http://secunia.com/internet_explorer_7_popup_address_bar_spoofing_test/
>
> Men popup-vinduet (som er at finde som link på siden), fremkommer også
> i FF og Opera.

Det er alene et spoofing issue og vil udelukkende kunne anvendes idet
øjeblik en bruger alligevel har bevæget sig ind på en fjendtligt webside.
Men når vi nu alligevel er i gang med sårbarheder i den nye IE7.0, så er der
netop publiceret en 0-dags sårbarhed i IE6 (som også omfatter 7.0 med få
modifikationer) som er langt mere alvorlig:
http://www.milw0rm.com/exploits/2629.

I IE6 vil exploitet fungere helt uden bruger interaktion, mens en
modificeret version af dette PoC vil fungere i IE7 hvis brugeren altså
tillader at det aktive indhold køres. Vi har smidt en flad demo (kopi af
PoC) op på vores webside for demonstration:
http://www.milw0rm.com/exploits/2629.

Venligst
Peter Kruse
http://www.csis.dk