Allvarligt säkerhetshål i Safari, Firefox låter hackare ta över vilken sajt som helst

Det finns ett allvarligt säkerhetshål i de flesta webbläsare förutom IE (snacka om ironi) som låter hackare ta över vilken domän som helst, även så kallade säkra, SSL-kopplade, sidor.

Hacket demonstrerades nyligen av The Shmoo Group och Boing Boing skriver om det:

Shmoo Group exploit: 0wn any domain, no defense exists
Pablos sez, "Shmoocon ended today. And just to prove The Shmoo Group wasn't sitting on their asses for the entire time while planning the con - A new exploit was demo'd by EricJ that left all jaws our on the floor. Want to own ANY domain? Want a trusted SSL cert for it? Check it out here. We 0wnz0rd PayPal, but left the rest for you. We have no idea how to fix this and neither do the browser developers. Official advisory here. Phishing attacks of doom coming soon."

Testa hacket på PayPal själv i Firefox eller Safari: http://www.shmoo.com/idn/

I artikeln från Boing Boing finns även tips på hur man skyddar sig i Firefox:

Update: Chris Smith sez,
1) Goto your Firefox address bar. Enter about:config and press enter. Firefox will load the (large!) config page.

2) Scroll down to the line beginning network.enableIDN -- this is International Domain Name support, and it is causing the problem here. We want to turn this off -- for now. Ideally we want to support international domain names, but not with this problem.

3) Double-click the network.enableIDN label, and Firefox will show a dialog set to 'true'. Change it to 'false' (no quotes!), click Ok. You are done.

4) Go check out the shmoo demo again and notice it no longer works.

Det går alltså att skydda sig i Firefox, men inte Safari. Apple behöver snabbt komma ut med ett skydd för Safari nu. För detta är ett högst allvarligt säkerhetshål.

[Via [url="http://padawan.info/web/boing_boing_shmoo_gro..."]padawan.info[/url]]

Kommentarer
4 svar

Efter att ha erbjudit Obama jobb trollar Spotify med Donald Trump om vad som egentligen hänt i Sverige.

En variant av Samsungs kommande flaggskepp Galaxy S8 kan få systemkrets företagets egendesignade processorfamilj Exynos 9.

Xiaomi vill utmana konkurrenterna Apple, Samsung och Huawei med en egenutvecklad mobilprocessor som snart ska avtäckas.

Minecraft-spelaren Alex Westerlund har gjort en exakt kopia av Apples nya huvudkontor i Cupertino som planeras stå klart under 2017.

En av Samsungs högsta chefer, och arvtagaren till koncernen, har häktats och väntar åtal för bland annat mutbrott, förskingring och mened.

Enligt obekräftade uppgifter har Apple köpt det israeliska företaget Realface, som specialiserar sig på ansiktsigenkänning.