Firefox lek laat hackers logingegevens stelen
Een ongepatcht beveiligingslek in Firefox 2 zorgt ervoor dat hackers gebruikers kunnen misleiden om de logingegevens van webmail accounts, fora en andere websites waar authenticatie vereist is op te geven. Het authenticatie dialoogvenster wat voor het inloggen wordt gebruikt is te vervalsen, waardoor het lijkt alsof het venster van een legitieme website afkomstig is. Het probleem is dat Mozilla's browser enkele quotes en spaties niet goed filtert, wat de phishing aanval mogelijk maakt.
Een aanvaller kan de kwetsbaarheid misbruiken door bijvoorbeeld een link naar een legitieme website van een bank of webmail provider te plaatsen. Als het slachtoffer de link opent, wordt de legitieme pagina in een nieuw venster geopend, maar een script zorgt ervoor dat het net geopende venster redirect naar de webserver van de aanvaller. Die laat dan het vervalste inlogvenster zien.
Dit filmpje demonstreert de aanval. Aangezien er nog geen patch is, raadt de ontdekker van het lek gebruikers aan om niet in te loggen op websites die het kwetsbare inlogvenster gebruiken.
Met dank aan LaFolie voor het melden van dit nieuws
een teken aan de wand dat Netscape ermee gestopt is.
Firefox...zie je nou wel? Net zo'n brakke browser als de
rest. Het is slechts
een teken aan de wand dat Netscape ermee gestopt is.
Firefox is mischien niet veiliger dan IE maar ik vind het
wel fijner werken dan IE.
En wat gebruik jij dan Safari?
wand dat Netscape ermee gestopt is.
en hebben niks met het artikel te maken.
Firefox...zie je nou wel? Net zo'n brakke browser als de
rest. Het is slechts
een teken aan de wand dat Netscape ermee gestopt is.
Het gaat over Firefox 2. Je kan hem dan evengoed vergelijken
met IE 5.
wand dat Netscape ermee gestopt is.
en hebben niks met het artikel te maken.
Voel jij je soms persoonlijk aangesproken? Netscape en Firefox hebben
zeker wel met elkaar te maken.
wand dat Netscape ermee gestopt is.
en hebben niks met het artikel te maken.
Hear hear !!! Blijkbaar is het ook tot diverse lezers van
security.nl nog niet doorgedrongen dat "lekvrije" software
niet bestaat. Opgeslagen naam/wachtwoord combinaties zullen
altijd een bron van exploits blijven.
Als je daar niet mee kan leven moet je postzegels gaan
verzamelen en je ongefundementeerde reacties voor je houden.
"Frl"
a new window, and a script will be executed to redirect the new
opened window to the attacker's web server, which will then return the
specially crafted basic authentication response.
Een javascript misschien?
Het is nu 16:23 en er zijn in totaal 7 reacties. Geen enkele
reactie geeft blijk dat de poster in staat is tot
zelfstandig en kritisch denken!
Wanneer je met een willekeurige browser naar bijvoorbeeld
een router, een ftp-server of ander afgeschermd netwerk
gaat, krijg je ALTIJD een dergelijk dialoogvenster!
Dus het maakt niet uit of je met MsIE, Opera of Safari
surft. Met behulp van wat phising en javascript is ieder
venster te vervalsen.
Wat mij betreft zitten de meeste bugs nog steeds in Homo
Sapiens versie 1.0! Een upgrade naar Homo Universalis 1.15
lijkt mij de beste keus!
Sapiens versie 1.0! Een upgrade naar Homo Universalis 1.15
lijkt mij de beste keus!
Goede gedachte, je kan wel zien dat jij veel slimmer bent
dan de rest!
Homo Universalis heeft véél te veel features! Het aantal
bugs explodeert daarmee, ten opzichte van het bug-niveau van
de huidige Nono Universalis dat ook al bedroevend is...
Firefox...zie je nou wel? Net zo'n brakke browser als de
rest. Het is slechts
een teken aan de wand dat Netscape ermee gestopt is.
Het gaat over Firefox 2. Je kan hem dan evengoed vergelijken
met IE 5.
Mozilla Firefox v2.0.0.11.
dat is de gewone huidige firefox versie, zeker niet te
vergelijken met ie5 tegen over ie6 of ie7/
Sapiens versie 1.0! Een upgrade naar Homo Universalis 1.15
lijkt mij de beste keus!
Goede gedachte, je kan wel zien dat jij veel slimmer bent
dan de rest!
neerkijkt.
http://secunia.com/advisories/23046/
Want dan is het misschien al veel langer bekend.
De IE7 advisories van Secunia zijn trouwens ook interessant.
quote:Door Anoniem
quote:Wat mij betreft zitten de meeste bugs nog
steeds in Homo
Sapiens versie 1.0! Een upgrade naar Homo
Universalis 1.15
lijkt mij de beste keus!
En tot die tijd mag de mens niet meer met computers spelen?
Goede gedachte, je kan wel zien dat jij veel slimmer bent
dan de rest!
Goed is-ie, he? Weer zo'n intelligent figuur die op ons
stommelingen
neerkijkt.
Ze moeten inteligentie verbieden! Laten we met z'n allen
weer gewoon zoals vroeger in de zandbak gaan spelen en
schommelen! :)
altijd een bron van exploits blijven.
Als je daar niet mee kan leven moet je postzegels gaan
verzamelen en je ongefundementeerde reacties voor je houden."
Of betere vormen van authenticatie willen gebruiken dan passwords.
"Opgeslagen naam/wachtwoord combinaties zullen
altijd een bron van exploits blijven.
Als je daar niet mee kan leven moet je postzegels gaan
verzamelen en je ongefundementeerde reacties voor je
houden."
Of betere vormen van authenticatie willen gebruiken dan
passwords.
Zoals !? afgehakte vingers? ;)
Het kan gebruikersvriendelijker.
De LidoKey is bijvoorbeeld volledig bestand tegen dit soort MITM aanvallen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?