Offentliggjør ny sårbarhet hver dag

En gruppe hackere vil legge ut detaljer om hittil ukjente hull i nettlesere hver dag i hele juli.

Harald BrombachHarald BrombachNyhetsleder
5. juli 2006 - 07:39

Mengden av sårbarheter i nettlesere kan virke enormt. Dette inntrykket forsterkes av løftene fra signaturen HDM tilknyttet Metasploit-prosjektet. Vedkommende lover i dette blogginnleget å offentliggjøre detaljer om en ny sårbarhet hver dag i hele juli.

Det danske sikkerhetsselskapet CSIS advarer mot virksomheten, og mener at denne offentliggjøringen er uansvarlig, vil føre til kaos og gi næring til utviklingen av reell, ondsinnet kode som utnytter sårbarhetene for automatisk å kunne kjøre skadelig kode.

Foreløpig har HDM holdt løftene. Sårbarheten i Internet Explorer som digi.no skrev om i går, var faktisk den tredje som er blitt offentliggjort i forbindelse med prosjektet som kalles "Month of Browser Bugs". Det er i tillegg blitt publisert detaljer om nok en IE-sårbarhet, samt en som omfatter IE, Outlook Express og Windows 2000, og en i Mozilla Firefox 1.5.0.2 som kjøres på Linux-distribusjonen Gentoo. Denne skal dog ha blitt rettet i versjon 1.5.0.3. Den femte gjelder en sårbarhet i Apples nyeste Safari-nettleser. I alle de fem tilfellene er det også blitt publisert eksempelkode på hvordan sårbarheten kan utnyttes.

I de fire første tilfellene er leverandøren av nettleseren blitt varslet i god tid. Microsoft er blitt varslet om de tre sårbarhetene så tidlig som den 6. mars i år. I hvert fall én av sårbarhetene karakteriseres av sikkerhetsselskapet Secunia som meget kritisk.

Alle sårbarhetene skal være funnet ved hjelp av tre fuzzing-verktøy, Hamachi, DOM-Hanoi og CSSDIE! Informasjon om verktøyene er tilgjengelig på nettstedet til Metasploit-prosjektet.

CSIS mener at disse verktøyene kan gjøre stor skade i hendene på ondsinnede. Selskapet skriver i en melding av verktøyene utløser forskjellige sårbarheter i både Firefox og Opera, i tillegg til i Internet Explorer, og at de trolig vil ødelegge sommerferien for mange.

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.