Nieuws

Firefox about:blank ontwerpfout helpt phishers

zaterdag 17 februari 2007, 11:34 door Redactie, 11 reacties

De Poolse beveiligingsonderzoeker Michael Zalewski heeft weer een fout in Firefox gevonden. Dit keer gaat het om een ontwerpfout die door phishers gebruikt kan worden om gebruikers te misleiden. Via een script is het mogelijk om een 'about:blank' URL in een nieuwe tab van Firefox te openen. Deze tab zal een lege adresbalk hebben, maar het script kan gewoon HTML op deze pagina injecteren.

Volgens Zalewski kan het plaatsen van tekst of HTML in een venster zonder adresbalk de gebruiker verwarren, omdat het dan niet duidelijk is waar de data of beveiligingswaarschuwingen vandaan komen. Een lege adresbalk is minder verdacht dan een dubieuze hostname of URL.

Daarnaast zorgt de ontwerpfout in Mozilla's browser ervoor dat een fix voor een oude User Interface spoofing bug omzeild kan worden. De bug maakte het mogelijk dat als een venster zonder adresbalk en menu's geopend werd, de aanvaller afbeeldingen en HTML controls kon plaatsen, bijvoorbeeld in de vorm van een nep adresbalk die "google.com" liet zien, terwijl een IFRAME daaronder de echte URL toonde. In het geval van 'about:blank' vensters is het nog steeds mogelijk voor een aanvaller om elementen van de browser te spoofen, zonder dat de gebruiker dit doorheeft.

Zalewski maakte de volgende demonstratie waarin de twee aanvallen getoond worden. De onderzoeker waarschuwde eerder deze week voor een Firefox bug waardoor aanvallers cookies kunnen manipuleren.

"NASA hacker bedreigd door VS"

Turkse bende plundert honderden online bankrekeningen

Reacties (11)

17-02-2007, 12:42 door Anoniem

Javascript noodzakelijk

17-02-2007, 13:59 door G-Force

Het wordt saai, maar NOSCRIPT voorkomt de uitvoer van deze ontwerpfout en dus krijgen Phishers hier geen kans.

17-02-2007, 15:16 door Anoniem

Door Peter V.
Het wordt saai, maar NOSCRIPT voorkomt de uitvoer van deze
ontwerpfout en dus krijgen Phishers hier geen kans.

Het wordt vervelend maar de kans dat men die noscript plugin er ook bij
geïnstalleerd heeft lijkt me niet zo groot.

Net zoals gebruikers die in IE Active-X hebben uitgeschakeld of met
restricted zones werken.

Dat is alleen maar bekend bij gebruikers die ook regelmatig security-
forums bezoeken. De rest is klikvee dat niet verder kijkt dan z'n neus lang
is.

Verspilde moeite dus.

17-02-2007, 16:03 door P2

Door Peter V.
Het wordt saai, maar NOSCRIPT voorkomt de uitvoer van deze ontwerpfout
en dus krijgen Phishers hier geen kans.

Waarom stoppen ze dat noscript niet standaard in FireFox? omdat veel
sites dan niet meer juist werken ofzoiets?

17-02-2007, 16:22 door Anoniem

NOSCRIPT is wel leuk maar inderdaad je hebt script wel vaak nodig om
paginaas goed weer te geven maar als je het niet erg vind om voor
uitvoering van script telkens toestemming te geven is het wel een
oplossing

17-02-2007, 16:48 door G-Force

Door P2

Door Peter V.
Het wordt saai, maar NOSCRIPT voorkomt de uitvoer van deze
ontwerpfout
en dus krijgen Phishers hier geen kans.

Waarom stoppen ze dat noscript niet standaard in FireFox?
omdat veel
sites dan niet meer juist werken ofzoiets?

Vraag ik me ook af. Maar downloaden en installeren is niet
moeilijk. Ga daarvoor naar:
https://addons.mozilla.org/firefox/722/

17-02-2007, 19:27 door extranion

de eerste bug zie ik niet echt als een echte bug meer iets
van domme gebruikers als die op een belangrijke site ineens
een lege adresbalk zien en dan toch door gaan.

2e stuk van de bugs vind ik wel een kwalijke zaak

18-02-2007, 10:50 door Anoniem

Je ziet hier hetzelfde gebeuren als met ie. Steeds meer gebruikers gaan
naar firefox en steeds meer fouten worden gevonden.

18-02-2007, 13:53 door Trancoded

mmmmm zelfde fout als bij IE7, als je de popups toelaat krijg je
vergelijkbaar resultaat :) er zijn altijd mensen die de popups toelaten of
denken dat ze een gemiste site tegenkomen é voilà :)

18-02-2007, 18:12 door Anoniem

Leuk plan dat NoScript. Maar als ik toch de functionaliteit van
websites wil verpesten dan gebruik in Links wel. (Linux).

23-02-2007, 11:50 door Anoniem

Door Anoniem
Leuk plan dat NoScript. Maar als ik toch de functionaliteit van
websites wil verpesten dan gebruik in Links wel.
(Linux).

Ik kan die redenering niet volgen. Toch heb
ik wel een leuke link voor je, een webrichtlijn van de
overheid
http://www.webrichtlijnen.nl/handleiding/ontwikkeling/productie/client-side-script-dom/optionele-karakter/#r-pd-14-1

Frappant is wel dat onder andere
http://wetten.overheid.nl/ de (eigen) richtlijnen
met voeten treden, door JavaScript abusievelijk te gebruiken.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer