image

JavaScript security lekje in Internet Explorer en Firefox

woensdag 7 juni 2006, 15:50 door Redactie, 12 reacties

Charles McAuley heeft een javascript lekje in Internet Explorer en Firefox ontdekt waardoor kwaadwillenden vertrouwelijke informatie zoals creditcardgegevens, wachtwoorden en andere logingegevens kunnen stelen. Volgens McAuley kun je toetsaanslagen filteren die in een formulier worden ingevuld. De input kan dan naar de file input box worden "gebounced", en daarna weer terug naar de tekst in kwestie, waardoor het lijkt alsof er niets gebeurt is.

Om de aanval succesvol te laten verlopen moet de aanvaller de gebruiker zover weten te krijgen dat hij een bestandsnaam in een file upload input veld typt, waarna dat bestand naar een kwaadaardige website wordt gestuurd. Als de gebruiker lang genoeg aan het typen is zal hij vanzelf de benodigde karakters voor de bestandsnaam typen, waarna de aanval geslaagd is. Een variant van dit lek was al in 2000 bij de Mozilla Foundation gemeld.

Firefox versie 1.5.0.4 is kwetsbaar, maar mogelijk ook andere versies. Als oplossing wordt aangeraden om JavaScript ondersteuning uit te schakelen of om de plugin NoScript te gebruiken. In het geval van Internet Explorer betreft het versie 6.0. Daar wordt aangeraden om ondersteuning van Active Scripting uit te schakelen.

Reacties (12)
07-06-2006, 16:13 door Anoniem
De 'lekjes' zitten ook in de Mozilla Suite, SeaMonkey en Netscape.
07-06-2006, 16:36 door inglorion
Dus je kunt als je heel ingewikkeld doet gebruikers
bestanden laten uploaden, waarvan jij de naam vantevoren
bepaald hebt?

Waarom dan niet gewoon <input type="file"
value="/etc/passwd" /> en het formulier submitten in de
onload van de pagina?
07-06-2006, 16:46 door Anoniem
inglorion: een value meegeven aan een file input box
kan/mag/werkt niet
07-06-2006, 16:55 door Anoniem
gebruik voor firefox noscript
zeer handig

http://www.noscript.net/whats
07-06-2006, 16:58 door Anoniem
Door inglorion
Dus je kunt als je heel ingewikkeld doet gebruikers
bestanden laten uploaden, waarvan jij de naam vantevoren
bepaald hebt?

Waarom dan niet gewoon <input type="file"
value="/etc/passwd" /> en het formulier submitten in de
onload van de pagina?

Omdat dat als het goed is niet kan/niet mag van je browser.
Net als een javascriptje om in 1x de value te zetten zoals
je zelf wilt. Bij deze methode gaat het erom dat de browser
denkt dat de gebruiker de text typt, waardoor het toegestaan
wordt.
07-06-2006, 17:19 door G-Force
Firefox gebruikers kunnen NoScript downloaden via onderstaande link:

https://addons.mozilla.org/firefox/722/
07-06-2006, 17:36 door Anoniem
Waarom dan niet gewoon <input type="file"
value="/etc/passwd" /> en het formulier submitten in de
onload van de pagina?

Dit werkt niet. Dat zou wel erg makelijk zijn he...
07-06-2006, 18:42 door Anoniem
Leuk dat NoScript, al twee keer geprobeerd te installeren,
maar dan kun je niet niet meer bij HotMail, ook niet als je
HotMail toestemming geeft.
Dus er maar weer afgehaald. Overigens het werkt wel bij Yahoo.
Of is er een oplossing voor dit probleem?
07-06-2006, 19:56 door Anoniem
Door Anoniem
Leuk dat NoScript, al twee keer geprobeerd te installeren,
maar dan kun je niet niet meer bij HotMail, ook niet als je
HotMail toestemming geeft.
Dus er maar weer afgehaald. Overigens het werkt wel bij Yahoo.
Of is er een oplossing voor dit probleem?

Hotmail werkt hier prima in met Firefox+NoScript. Hoef je
niets speciaals voor te doen verder, behalve dus eenmaal
hotmail.com toestemming geven.
08-06-2006, 08:50 door Anoniem
Zou je dat niet met Noscript kunnen voorkomen dan?
08-06-2006, 13:00 door Anoniem
Als je NoScript gebruikt, schakelt die Java en Java-script
standaard uit. Je ziet een soort rood S-je in je statusbalk.
Klik daarop en je ziet welke domeinen (!) java(script)
willen uitvoeren. Kies het domein waarop je javascript wilt
gebruiken en kies dan Allow ... of Temporarily
Allow ...
. De pagina wordt (standaard) opnieuw geladen
en werkt dan wel.
21-07-2006, 17:50 door spatieman
somige mensen zijn zo gegeilt op IE dat alle good goodies
van firefox als foei worden gezien.

en idd, je moet eerst es kijken op welke site je zit, om die
dan ook java rechten te geven met noscripts.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.