Nieuw Internet Explorer lek ook in Firefox aanwezig
Er zijn gisteren twee nieuwe lekken in Internet Explorer gevonden, waarvan er ook één in Firefox aanwezig is. Het eerste lek dat security onderzoeker Plebo Aesdi Nael vond betreft een fout in het verwerken van gedeelde bestanden. Een aanvaller kan dit misbruiken om een gebruiker een kwaadaardige HTA applicatie te laten uitvoeren. De gebruiker moet dan wel verleid worden om op een bestand te dubbelklikken.
Ondanks de gebruikersinteractie die vereist is, verwacht het Internet Storm Center dat dit lek straks wel misbruikt zal worden. Als oplossing wordt aangeraden om het Windows file sharing verkeer te filteren.
Het tweede lek betreft het verwerken van de object.documentElement.outerHTML eigenschap. Via deze kwetsbaarheid kan een aanvaller achterhalen wat het slachtoffer op dat moment in zijn browser aan het bekijken is.
Dit lek is erg vervelend als de gebruiker is ingelogd op bijvoorbeeld z'n webmail. Het lek zou ook aanwezig zijn Firefox, zo heeft het ISC ontdekt, maar de voglende test url blijkt niet op Firefox browsers te werken. Voor mensen die hun browser willen testen is op deze pagina een test te vinden. Als oplossing wordt aangeraden om Active Scripting uit te schakelen.
Microsoft zou inmiddels beide lekken in onderzoek hebben.
vulnerable is; Het lijkt onderhand wel alsof NoScript alle
gaten dicht die in Ff blijken te zitten. Misschien tijd om
NoScript standaard in Ff in te bouwen...
particulair exploit".
(Firefox 1.5.0.4, standaard geinstalleerd).
Rob.
particulair exploit".
Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.8.0.4)
Gecko/20060614 Fedora/1.5.0.4-1.2.fc5 Firefox/1.5.0.4 pango-text
Standaard Java(script) blokkeren, scheelt een hoop.
particulair exploit".
IE7+ in Windows Vista Beta 2
particular exploit.
Mozilla/5.0 (Windows; U; Windows NT 5.1; nl; rv:1.8.0.4)
Gecko/20060508 Firefox/1.5.0.4
Your browser is vulnerable! The test retrieved content from
http://www.google.com in the context of your browser.
IE6
Dus ze hebben 2 varianten gevonden: 1 werkt alleen op IE en
de ander op zowel IE als FF.
dit resultaat: "Your browser does not appear to vulnerable
to this particular exploit".
Eerst even met NoScript-plugin tijdelijk Secunia.com
toegestaan, anders werkt de hele test niet. :)
Voor de duizendste keer: NoScript-plugin voor FireFox.
Standaard Java(script) blokkeren, scheelt een hoop.
Eens.
Maarrrr, met of zonder NoScript is FF 1504 niet kwetsbaar.
IE wel.
de vertrouwde zone) op Windows XP SP2 (home-edition) leverde geen
werkende exploit op. Evenzo met de nieuwste Firefox en NoScript
geïnstalleerd leverde geen werkende exploit op.
Maarrrr, met of zonder NoScript is FF 1504 niet kwetsbaar.
IE wel.
IE7 is NIET kwetsbaar.
particular exploit;
Mozilla 1.7.12
Mozilla/5.0 (Windows; U; Windows NT 5.0; en-US; rv:1.7.12)
Gecko/20050915
> Het lek zou ook aanwezig zijn Firefox, zo heeft het
> ISC ontdekt, maar de voglende test url blijkt
> niet op Firefox browsers te werken.
waarna de Secunia URL volgt.
De Secunia test ziet er anders uit dan wat Plebo Aesdi Nael
schreef in in de bijlage van
http://lists.grok.org.uk/pipermail/full-disclosure/2006-June/047398.html
en gebruikt daarnaast JavaScript als wrapper om de
feitelijke code, dus dat NoScript daardoor de Secunia
"exploit" (die sowieso niet werkt in Firefox) tegenhoudt
geloof ik best.
Een heel snel en aangepast testje met Plebo's code in
Firefox (1.0.8) toont een Google page in een deel van het
scherm. De consequenties hiervan kan ik zo snel niet
overzien (ik weet te weinig van XSS, als dat het probleem al
is).
ISC lijkt te suggereren dat hiermee in Firefox toegang tot
gegevens uit de context van de andere website kan worden
verkregen. Of dat zo is, en of NoScript dan alle mogelijke
issues tegenhoudt, weet ik niet.
Seamonkey, de afgeleide van Mozilla (net als Firefox)
standaard niet vulnerable te zijn.
De test deed ik met; Mozilla/5.0 (Windows; U; Windows NT
5.1; en-US; rv:1.9a1) Gecko/20060603 SeaMonkey/1.5a
zonder speciale extentions of speciale security instellingen.
Dezelfde test met Maxthon 1.5.2 (met IE engine) gaf wel een
vulnerable melding.
> De test deed ik met; Mozilla/5.0
[knip]
WELKE test? Zowel de caption als de URL van de huidige
Secunia testpage bevatten de woorden "Internet
Explorer Information Disclosure Vulnerability Test" en
eerder was al aangegeven dat deze test niet werkt op
non-MSIE browsers.
http://isc.sans.org/diary.php?storyid=1448
vermeldt sinds kort de volgende aanvulling:
We have been getting comments about the statement of Firefox
being vulnerable. After repeated testing, one of the
handlers has confirmed that it is definitely vulnerable. The
code found at Secunia will not catch vulnerable versions of
Firefox but the original PoC found on FullDisclosure will
work on Firefox.
details is erg mager.
> Dezelfde test met Maxthon 1.5.2 (met IE engine)
> gaf wel een vulnerable melding.
Dat is wel zinvolle informatie.
Wellicht ook interessant is dat op mijn Win98SE PC MSIE
6+SP1 met patches t/m mei j.l. als not vulnerable uit
de Secunia test komt. Daardoor, en doordat de Secunia code
zo te zien niet verder gaat dan een frame van een andere
site te laten zien - zonder XSS of iets dergelijks aan te
tonen, heb ik niet veel vertrouwen in deze Secunia test.
N.B. om even aan te geven hoe tricky "cross-site-scripting"
is: zo te zien wordt op elke Secunia page "legaal" (d.w.z.
ogenschijnlijk zonder gebruik van exploits, wat niet wil
zeggen dat dit door iedereen gewenst is) de file
http://www.google-analytics.com/urchin.js geladen, welke zoveel
mogelijk over je te weten probeert te komen (o.a. Flash
versie, document title etc) waarna deze info -als ik me niet
vergis- achter een .gif URL geplakt naar die site wordt
teruggestuurd.
zou een workaround zijn in geval van een ongepatchte bug. Ik
persoonlijk wil gewoon dat alles werkt. Ook de java scripts
en dergelijke.
Door Anoniem op donderdag 29 juni 2006 09:31
NoScript is geen oplossing zoals hier word gesuggereerd. Het
zou een workaround zijn in geval van een ongepatchte bug. Ik
persoonlijk wil gewoon dat alles werkt. Ook de java scripts
en dergelijke.
zijn dat ook niet. Maar met beide kan je veel ellende voorkomen.
Het handige van de NoScript-plugin is dat je kan zien welke domeinen
javascript willen uitvoeren op de web-pagine die je bekijkt. En vaak zitten
daar allerlei domeinen tussen die je niet wilt. Je kan dus vrij nauwkeurig
alleen dat domein toestaan dat je wel vertrouwt.
Wat mij betreft is NoScript een onmisbare uitbreiding en zou die er ook
voor Internet en Opera moeten zijn.
Het handige van de NoScript-plugin is dat je kan zien welke
domeinen
javascript willen uitvoeren op de web-pagine die je bekijkt.
En vaak zitten
daar allerlei domeinen tussen die je niet wilt. Je kan dus
vrij nauwkeurig
alleen dat domein toestaan dat je wel vertrouwt.
zeggen dat ik dit niet gebruik, omdat het me eigenlijk niet
interesseert. Ik doe wel een format c: eens in t half jaar.
Stukken minder werk dan elke dag weer al die meuk
verwijderen die erop is gekomen, of controleren van welk
domein een scriptje word uitgevoerd...
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
