Ernstige lekken plagen Firefox en Internet Explorer
De Poolse beveiligingsonderzoeker Michal Zalewski heeft een aantal ernstige beveiligingslekken in Firefox en Internet Explorer gevonden waar nog geen patch voor is, en waardoor een aanvaller vertrouwelijke informatie kan stelen of op het systeem bestanden kan downloaden en uitvoeren.
Zo kan een aanvaller in het geval van Firefox via Javascript kwaadaardige code injecteren en zo toetsaanslagen monitoren of getoonde content op een website vervalsen. Het andere grote probleem zorgt ervoor dat door het omzeilen van bevestigingsvensters, een aanvaller, zonder dat de gebruiker dit weet, bestanden kan downloaden en uitvoeren.
Het gevaarlijkste lek bevindt zich in Microsoft's browser. Via Javascript is het mogelijk om op een nieuwe pagina acties uit te voeren met de rechten van de vorige pagina. Hierdoor kan een script cookies achterhalen of plaatsen, pagina's wijzigen, de browser laten crashen of in het ergste geval de PC overnemen. Het tweede lek in Microsoft's browser treft alleen de zesde editie, en zorgt ervoor dat een aanvaller de adresbalk kan spoofen, mogelijk ook met SSL gegevens.
Een demonstratie van Zalewski's kwetsbaarheden is via deze advisory te vinden. Het is trouwens niet alleen de Pool die Firefox op de korrel heeft genomen. Onderzoeker Thor Larholm ontdekte dat het "directory traversal lek" met Firefox 2.0.0.4 alleen in Windows gepatcht is, maar niet in Unix/Linux en OS X. Hierdoor kan een aanvaller alle voor de gebruiker toegankelijke lokale bestanden lezen.
Doch de manier waarop het "directory traversal lek" in Linux werkt, is mij
niet duidelijk. Is het ook dmv Java? En de "alle voor de gebruiker
toegankelijke lokale bestanden", wat zijn die dan en hoe diep kan een
aanvaller gaan?
Capricornus
Is het ook dmv Java?
bestanden", wat zijn die dan en hoe diep kan een aanvaller
gaan?
Ik voer een restrictief beleid met NoScript.
Capricornus
Hier idem dmv. de restricted sites zones.
"All sites are restricted unless otherwise indicated".
Nog nooit een probleem gehad met IE
gisterennacht in de weer geweest met dit "lek" en weet dus
dat meneertje Michal Zalewski geen rekening heeft gehoude
met NOscript. Want als deze extensie in de browser zit, dan
wordt er helemaal NIX uitgevoerd.
Firefox met NOscript, de veiligste browser there is
Is het ook dmv Java?
au.
Ik kan aardig programeren in Java, maar javascript beheers ik niet.
Rara hoe kan dat?
Java ‚ Javascript
beiden ter sprake is bij zowat alle ernstige lekken in de browsers.
Geen goed teken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
