"Cool" beveiligingslek in Internet Explorer 7 en Firefox
De Poolse onderzoekers Michal Zalewski die de afgelopen weken verschillende beveiligingslekken in Firefox heeft ontdekt, waarschuwt nu voor een "cool" lek in Internet Explorer 7. De "combinatie kwetsbaarheid" zorgt ervoor dat een aanvaller de bezoeker van een kwaadaardige website kan "vangen", dat wil zeggen dat het slachtoffer niet op een normale manier de pagina kan verlaten.
Daarnaast is het mogelijk om de overgang tussen pagina's te spoofen, waardoor de gebruiker denkt dat hij de pagina heeft verlaten, omdat de adresbalk een ander adres weergeeft, terwijl dit in werkelijkheid niet het geval is. Volgens Zalewski opent dit een reeks van vervelende opties voor spoofing en phishingaanvallen. Zoals altijd heeft de onderzoeker ook een demonstratie online geplaatst.
Ernstig lek in Firefox
Verder waarschuwt de Pool dat Firefox voor dit specifieke lek niet kwetsbaar is, maar gezien het gedrag wel kwetsbaar is voor een variant van de bug.
Na wat verder onderzoek blijkt dat het probleem in Mozilla's browser veel ernstiger is, waardoor mogelijk het systeem kan worden overgenomen. Mozilla is inmiddels ingelicht, maar wanneer er een patch verschijnt is nog niet bekend. Firefox gebruikers die hun browser willen testen kunnen hier terecht. Sommige beveiligingsexperts hebben Zalewski gevraagd wanneer hij Opera eens onder handen neemt.
UPDATE: na de laatste update voor Firefox 2.0.0.2 die vandaag is uitgegeven werkt het lek ook niet als NOSCRIPT wordt uitgezet. Kennelijk verholpen?
Alweer: NOSCRIPT voorkomt de uitvoer van dit lek.
Dat mag wel waar zijn, maar als je op alle sites noscript
gebruikt, dan ik dat je een hoop functionaliteit mist, zoals
bijv. clientside validatie en AJAX. Lijkt mij toch wel een
vervelende gebruikerservaring.
gebruikt, dan ik dat je een hoop functionaliteit mist, zoals
bijv. clientside validatie en AJAX. Lijkt mij toch wel een
vervelende gebruikerservaring.
je kunt deze functionaliteit terugkrijgen door tijdelijk
JavaScript toe te staan. En alle sites die in je bookmarks
staan worden toegestaan met NoScript. Het houdt dus alleen
onbekende sites tegen...
Alweer: NOSCRIPT voorkomt de uitvoer van dit lek.
toestaat, al dan niet door socialengineering. Dat zou een
reeds 'vertrouwde' site kunnen zijn, die gecompromitteerd is.
In principe kan ondersteuning van JavaScript beter permanent
uit.
hij Opera eens onder handen neemt.
ik Opera als webbrowser gebruik.
Alweer: NOSCRIPT voorkomt de uitvoer van dit lek.
Dat mag wel waar zijn, maar als je op alle sites noscript
gebruikt, dan ik dat je een hoop functionaliteit mist, zoals
bijv. clientside validatie en AJAX. Lijkt mij toch wel een
vervelende gebruikerservaring.
illustratie hoe dergelijke website ontwikkelaars
niet met gebruikers rekening houden.
Op client-side verificatie kun je overigens niet vertrouwen.
Verificatie beter server-side.
gevraagd wanneer hij Opera eens onder handen neemt.
zitten aangezien ik Opera als webbrowser gebruik.
de artikelen staan links naar de betreffende tests.
gevraagd wanneer
hij Opera eens onder handen neemt.
zitten aangezien
ik Opera als webbrowser gebruik.
Mjah, ik ook. Ben daar ook best benieuwd naar.. Alhoewel Opera in veel mindere mate gebruikt wordt en derhalve ook veel minder interressant is voor dit soort malware schrijvers of bug zoekers.
gebruikt, dan ik dat je een hoop functionaliteit mist, zoals
bijv. clientside validatie en AJAX. Lijkt mij toch wel een
vervelende gebruikerservaring.
je kunt deze functionaliteit terugkrijgen door tijdelijk
JavaScript toe te staan. En alle sites die in je bookmarks
staan worden toegestaan met NoScript. Het houdt dus alleen
onbekende sites tegen...
Het toestaan van JavaScript op sites in je bookmarks is
eveneens een optie
er staat. Dan kom je erachter dat Opera ook vulnerable is, helaas...
gevraagd wanneer
hij Opera eens onder handen neemt.
zitten aangezien
ik Opera als webbrowser gebruik.
Mjah, ik ook. Ben daar ook best benieuwd naar.. Alhoewel Opera in veel
mindere mate gebruikt wordt en derhalve ook veel minder interressant is
voor dit soort malware schrijvers of bug zoekers.
Nou, dan gebruik je de test toch lekker in een opera browser? dan weet je
het!
gebruikt, dan ik dat je een hoop functionaliteit mist, zoals
bijv. clientside validatie en AJAX. Lijkt mij toch wel een
vervelende gebruikerservaring.
je kunt deze functionaliteit terugkrijgen door tijdelijk
JavaScript toe te staan. En alle sites die in je bookmarks
staan worden toegestaan met NoScript. Het houdt dus alleen
onbekende sites tegen...
Dat kan met IE al jaaaaren!
Restricted sites-zone in IE.
wel even dat de site geladen is, maar de browser crasht niet
meer.
Deze exploit werkt niet meer met firefox 2.0.0.2. Het duurt
wel even dat de site geladen is, maar de browser crasht niet
meer.
vervelende ongewenste dingen doen met JavaScript.
Alweer: NOSCRIPT voorkomt de uitvoer van dit lek.
Dat mag wel waar zijn, maar als je op alle sites noscript
gebruikt, dan ik dat je een hoop functionaliteit mist, zoals
bijv. clientside validatie en AJAX. Lijkt mij toch wel een
vervelende gebruikerservaring.
Overigens mis ik wat er "cool" is aan dit lek, kan iemand
het mij vertellen ?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
