Nieuw Internet Explorer lek opent harde schijf voor websites
Een nieuw en ongepatcht beveiligingslek in Internet Explorer geeft websites toegang tot alle bestanden op een harde schijf, zo waarschuwt de Nederlandse beveiligings- onderzoeker Ronald van den Heetkamp. De onderzoeker gebruikte een eerder ontdekt lek in Firefox en paste dat toe op Microsoft's browser, om zo de focus te stelen. "De reden dat ik dit demonstreer, is om te laten zien hoe een kleine verandering van denkwijze tot een cross browser exploit kan leiden," aldus de beveiliger, die het lek binnen een uur vond.
Normaliter is het niet mogelijk om JavaScript automatisch bestanden van een PC te laten uploaden. Dit kan alleen als de gebruiker zelf een bestand selecteert en uploadt. De exploit demonstreert hoe een website dit wel kan doen, door focus van de gebruiker te stelen en de beveiligingsmaatregelen van de browser te omzeilen. "Het voorbeeld is niet schadelijk, maar als men weet hoe het te gebruiken, kan elke site alle bestanden van je PC uploaden naar een server zonder dat je het door hebt", laat van den Heetkamp tegenover Security.NL weten.
wat veiliger, bewuster (en makkelijker) kunnen internetten. En als het
nodige is om de hd te benaderen dat je voor die website een aparte
browser moet openen, buiten die sandbox of in een minder gelimiteerde
sandbox. (Ik zeg zo maar ff snel iets, maar er moet iets veranderen
aan de huidige browsers zodat je systeem niet direct benaderd kan
worden door de browser, het zou me nm. niet verbazen als via deze lek ook
de gegevens verwijderd kunnen worden).
hebben? Of gluren zij al jaren mee op mijn harde schijf?? en
al die andere o zo koosjere webstekken?
Browser moeten standaard een sandbox mode hebben. Zodat gebruikers
wat veiliger, bewuster (en makkelijker) kunnen internetten. En als het
nodige is om de hd te benaderen dat je voor die website een aparte
browser moet openen, buiten die sandbox of in een minder gelimiteerde
sandbox. (Ik zeg zo maar ff snel iets, maar er moet iets veranderen
aan de huidige browsers zodat je systeem niet direct benaderd kan
worden door de browser, het zou me nm. niet verbazen als via deze lek ook
de gegevens verwijderd kunnen worden).
In Vista is dat de standaard situatie.
In Vista is dat de standaard situatie.
Sorry, maar dit valt in de categorie van "In de volgende
versie is dit opgelost". Alleen kost die volgende versie wel
elke keer weer een bak met geld in dit geval.
maar ik ga noscript ook niet aan passen.
hebben ongetwijfeld gezien dat Windows XP met SP2 in combinatie met IE
7 niet kwetsbaar is.
Response Center. Gedurende het onderzoek kunnen wij echter geen
commentaar leveren op de status en/of de voortgang.
Overigens is het altijd aan te raden mogelijke beveiliginsproblemen te
melden via het email adres : [email]secure@microsoft.com[/email].
Groeten,
Ruud de Jonge
Microsoft Nederland
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
