Firefox "lekt" MSN en Gmail logingegevens
De Poolse beveiligingsonderzoeker Michal Zalewski heeft weer een beveiligingslek in Mozilla's open source browser Firefox ontdekt. Dit keer gaat het om een probleem waardoor aanvallers de logingegevens van bekende websites en diensten zoals Google, Gmail, MSN en AOL kunnen stelen. Het probleem zit hem in de manier waarop Firefox met bookmarks omgaat.
Om de aanval te laten werken moet een aanvaller de gebruiker een venster laten bookmarken dat niet naar een fysieke locatie verwijst, maar naar een "inline data: URL scheme". Als die link later geladen wordt, kan JavaScript in de context van de openstaande website worden uitgevoerd en kan de aanvaller de gebruiker z'n "credentials" stelen.
Hoewel het zeer onwaarschijnlijk is, kan het lek ook misbruikt worden om het systeem over te nemen. Het slachtoffer zou dan in lokale bestanden of speciale URL's moeten browsen voordat de "vergiftigde bookmark" geopend wordt. Op deze pagina wordt een demonstratie van het lek gegeven.
van geen kanten. De reden?
NO SCRIPT blokkeert gewoon dit lek.
Voor installatie van deze extensie ga naar:
https://addons.mozilla.org/firefox/722/
ik dat dan toch maar naast mn adblock plus installatie gebruiken
Vertrouwen als ik heb in Security.nl heb ik direct het
aanbevolen scriptje geïnstalleerd. Vervelend is echter wel
dat bijvoorbeeld reacties van lezers op nieuws-items (@home)
niet meer te zien zijn. Zo zijn er ook andere pagina's waar
opeens onderdelen lijken te ontbreken.
Misschien moet ik nog een instelling in Mozilla aanpassen of
is het anders op te lossen? Zo niet dan verneem ik graag
waar ik de installatie van het scriptje ongedaan kan maken.
Bedankt voor jullie reactie,
Ed
(waar ze waarschijnlijk ook nog wel 20 lekken in gaan vinden)
Jullie zullen zo onderhand wel denken, daar komt die
achterlijke Linux freak weer, maar het licht toch *echt* aan
het besturingssysteem hoor!
Ik gebruik Firefox zowel onder Linux als onder Windows,
echter onder Linux had ik geen last van opdringerige scripts
en onder Windows was het meteen weer raak vandaag.
Gooi die oogkleppen toch alsjeblieft (voor je eigen bestwil)
eens een keer af, want de conclusie is zonneklaar: Windows
is defetive by design!
Het spijt me wel voor meneer Zalewski, maar het lek werkt
van geen kanten. De reden?
NO SCRIPT blokkeert gewoon dit lek.
Voor installatie van deze extensie ga naar:
https://addons.mozilla.org/firefox/722/
Reclame voor WC-eend, nu maar weer eens een keer voor NoScript.
Worden sommige posters hier soms betaald of zo?
Het spijt me wel voor meneer Zalewski, maar het lek werkt
van geen kanten.
prima op een basis installatie van firefox. dat het met
bepaalde addons tegen te gaan valt is natuurlijk een ander
verhaal. moeten we nu alle exploits niet zo zien omdat er
via een ander programma wat tegen te doen valt. exploit op
windows via internet, met firewall opeens geen exploit meer.
beetje onzin peter.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?