Charles McAuley heeft een javascript lekje in Internet Explorer en Firefox ontdekt waardoor kwaadwillenden vertrouwelijke informatie zoals creditcardgegevens, wachtwoorden en andere logingegevens kunnen stelen. Volgens McAuley kun je toetsaanslagen filteren die in een formulier worden ingevuld. De input kan dan naar de file input box worden "gebounced", en daarna weer terug naar de tekst in kwestie, waardoor het lijkt alsof er niets gebeurt is.
Om de aanval succesvol te laten verlopen moet de aanvaller de gebruiker zover weten te krijgen dat hij een bestandsnaam in een file upload input veld typt, waarna dat bestand naar een kwaadaardige website wordt gestuurd. Als de gebruiker lang genoeg aan het typen is zal hij vanzelf de benodigde karakters voor de bestandsnaam typen, waarna de aanval geslaagd is. Een variant van dit lek was al in 2000 bij de Mozilla Foundation gemeld.
Firefox versie 1.5.0.4 is kwetsbaar, maar mogelijk ook andere versies. Als oplossing wordt aangeraden om JavaScript ondersteuning uit te schakelen of om de plugin NoScript te gebruiken. In het geval van Internet Explorer betreft het versie 6.0. Daar wordt aangeraden om ondersteuning van Active Scripting uit te schakelen.
Deze posting is gelocked. Reageren is niet meer mogelijk.