Door een fout in de manier waarop de beveiliging in browsers en belangrijke elementen zoals Flash en Java zijn verwerkt, is het voor een aanvaller mogelijk om VPNs en firewalls te penetreren en talloze zombies te maken. Een team van de universiteit van Stanford demonstreerde twee maanden geleden al hoe ze via een Flash reclame van 100 dollar 100.000 computers zouden kunnen infecteren, en ook tijdens de afgelopen Blackhat en Defcon conferenties kwam het probleem ter sprake.
De kern van het probleem zit hem in de beveiliging van de "Same Origin Policy", die via sandboxing beperkt dat JavaScript van het ene domein in de context van een ander domein kan draaien, of toegang tot de middelen van een ander domein heeft. Het concept klinkt misschien eenvoudig, de implementatie ervan blijkt erg lastig. Aangezien onderzoekers al sinds 1996 van het probleem op de hoogte zijn, zal een permanente fix dan ook nog wel even op zich laten wachten.
"De same origin policy is een goed idee, maar het is ook ernstig kapot in de meeste implementaties," zegt onderzoeker David Byrne, die over het onderwerp een presentatie gaf. Elf jaar geleden werd er ook al voor het probleem gewaarschuwd: "Deze aanval is met name gevaarlijk als de browser zich achter een firewall bevindt, omdat het kwaadaardige applet elke machine achter de firewall kan aanvallen."
De aanval staat bekend als domain-name service (DNS) rebinding, en zorgt ervoor dat er gegevens van en naar het lokale netwerk gestuurd kunnen worden, zonder dat de firewall dit voorkomt. Om het probleem te voorkomen ontwikkelde Sun en andere browserontwikkelaars een techniek genaamd DNS pinning, die geen verandering toestaat aan het IP-adres van een bepaald domein voor een bepaalde tijd. Deze beveiliging blijkt echter kwetsbaar voor anti-DNS pinning technieken. Verder gebruiken browsers en plugins zoals Flash en Java verschillende tabellen voor de gepinde domeinen, die ook aangevallen kunnen worden.
Zowel Microsoft als Mozilla zoeken nu naar een oplossing. Volgens experts zal het echter nog twee a drie jaar duren voordat criminelen de kwetsbaarheid zullen misbruiken.
Deze posting is gelocked. Reageren is niet meer mogelijk.