Nieuws
image

Experts slaan alarm over Clickjacking-lek in IE en Firefox

vrijdag 26 september 2008, 12:38 door Redactie, 23 reacties

Een beveiligingslek van ongekende omvang treft bijna alle browsers van dit moment en het probleem is zeer lastig te patchen. Oorspronkelijk zouden beveiligingsexperts Robert “RSnake” Hansen and Jeremiah Grossman tijdens de OWASP AppSec 2008 conferentie in New York de details van het 'Clickjacking-lek' onthullen, maar op verzoek van Adobe, Microsoft, Mozilla en andere kwetsbare vendors werd de presentatie opgeschort totdat een update beschikbaar is. De experts zagen zelf ook in dat het onverstandig was om tot full-disclosure over te gaan.

De twee gaven wel een besloten presentatie en de details deed menig expert schrikken. "In een notendop komt het erop neer dat als je een kwaadaardige website bezoekt de aanvaller volledige controle heeft over de links die je browser bezoekt. Het probleem treft alle verschillende browser, behalve zoiets als Lynx. Het probleem heeft niets te maken met JavaScript, dus het uitschakelen van JavaScript in je browser zal je niet helpen. Het is een fundamenteel probleem in de manier waarop je browser werkt en is niet via een eenvoudige patch te verhelpen. Met deze exploit kan de aanvaller, zodra je op een kwaadaardige website zit, je op elke link, button of wat dan ook op de pagina laten klikken zonder dat je dit ziet gebeuren." Hoewel JavaScript niet verplicht is om de aanval uit te voeren, maakt dit het wel een stuk eenvoudiger.

De dreiging is met zowel Microsoft als Mozilla besproken en beide partijen erkenden tegenover de onderzoekers dat het een lastig probleem is zonder eenvoudige oplossing op dit moment. Zowel Internet Explorer 8 en als Firefox 3 zijn kwetsbaar voor de aanval. "De enige oplossing is om browser scripting en plugins uit te schakelen. We beseffen dat we mensen niet veel technische details geven om mee te werken, maar het is het beste wat we nu kunnen doen," aldus Grossman.

NoScript
Giorgio Maone, de ontwikkelaar van de populaire Firefox extensie NoScript, laat weten dat het lek 'echt eng' is. Zijn creatie stopt in de standaard configuratie de meeste aanvallen. Voor 100% beveiliging adviseert hij om de “Plugins|Forbid IFRAME” optie in te schakelen. Hansen bevestigt dat Lynx als een van de weinige browsers niet kwetsbaar is.

Reacties (23)
26-09-2008, 13:28 door XM16E1
Allemaal over op Lynx, nu!
26-09-2008, 13:30 door Anoniem
Ja of nog beter, op Links!
26-09-2008, 13:43 door Anoniem
mja lynx ondersteund dan ook geen iframes :-)
laat staan frames :-)
26-09-2008, 14:32 door Anonl3m
Mooi! Lynx ruulz ;-) En mutt als emailclient... zijn ook geen exploits (meer) voor.
26-09-2008, 14:49 door Anoniem
dus elinks is wel kwetsbaar? :P
26-09-2008, 14:59 door Anoniem
mutt is prut. De auteur moet eens een RFC lezen.
26-09-2008, 15:52 door Lamaar
De enig goede waarschuwing tegen dit soort gevaren heb ik hier nog steeds niet gelezen: allemaal onmiddellijk de computer uitschakelen en de internetverbinding doorknippen. Wedden dat je dan nooit meer last hebt?
26-09-2008, 16:28 door Anoniem
Door LamaarDe enig goede waarschuwing tegen dit soort gevaren heb ik hier nog steeds niet gelezen: allemaal onmiddellijk de computer uitschakelen en de internetverbinding doorknippen. Wedden dat je dan nooit meer last hebt?

laatmaar
26-09-2008, 16:36 door Anoniem
Door Anoniemmutt is prut. De auteur moet eens een RFC lezen.

Pine ruulz ;)
26-09-2008, 17:03 door Anoniem
Door LamaarDe enig goede waarschuwing tegen dit soort gevaren heb ik hier nog steeds niet gelezen: allemaal onmiddellijk de computer uitschakelen en de internetverbinding doorknippen. Wedden dat je dan nooit meer last hebt?
internetkabel doorknippen is al genoeg hoor, tenzij je draadloos gebruikt :D
27-09-2008, 00:36 door prikkebeen
Door LamaarDe enig goede waarschuwing tegen dit soort gevaren heb ik hier nog steeds niet gelezen: allemaal onmiddellijk de computer uitschakelen en de internetverbinding doorknippen. Wedden dat je dan nooit meer last hebt?

Ik denk dat ik die raad maar ga opvo
27-09-2008, 02:28 door Anoniem
http://home.pacific.net.sg/~kennethkwok/lynx/.
Goh zeg, dat een (kwaadaardige) website volledige controle heeft over je klikken...
Ik maar denken dat websites en webapplicaties daarvoor bedoeld waren.
27-09-2008, 10:16 door Anoniem
Geen full disclosure is OK, maar een echte lijst met kwetsbare browsers lijkt me toch het minste.
Met "FF en IE wel en lynx niet" maken ze zich er wel heel makkelijk vanaf. Hoe zit het met Opera, met Met Safari, met Chrome, etc?
27-09-2008, 11:58 door Rene V
Door LamaarDe enig goede waarschuwing tegen dit soort gevaren heb ik hier nog steeds niet gelezen: allemaal onmiddellijk de computer uitschakelen en de internetverbinding doorknippen. Wedden dat je dan nooit meer last hebt?


Laat je door mij vooral niet tegenhouden :-)
27-09-2008, 12:16 door Anoniem
Zou dit het zijn? http://www.breakingpointsystems.com/community/blog/clickjacking/real-clickjacking
27-09-2008, 14:40 door Anoniem
Door Anoniemmutt is prut. De auteur moet eens een RFC lezen.
Ik heb even rondgezocht op het web en geen kritiek op RCF-ondersteuning in Mutt gevonden. Waar doel je precies op?
27-09-2008, 17:20 door Anoniem
Firefox, noscipt, optie aanpassen zoals beschreven in het artikel en niets meer aan de hand. De boel zo laten totdat ze een update hebben gebouwd voor Firefox.
28-09-2008, 08:46 door Anoniem
gebruik Firefox met "noscript" vervolgens "IFrames verbieden" aanvinken in de opties en de boel zit dicht.
29-09-2008, 02:25 door Anoniem
Probleem is twee uur geleden voor Firefox opgelost.
IE uiteraard tweede dinsdag van oktober 2008.:-)
29-09-2008, 07:33 door Anoniem
Handig?
http://erratasec.blogspot.com/2008/05/activex-is-dangerous.html
:-)
01-10-2008, 11:50 door Anoniem
Tuurlijk kan je met CSS iframes op elkaar plaatsen en doorzichtbaar maken, dan klik je dus op iets wat je niet ziet.
Gebruik Opera, kan je de zaken gewoon instellen met een vinkje:
- disable iframes
- disable frames
- disable javascript
- accept only cookies from the site I visit
- delete all cookies when exiting Opera
- user mode ipv author mode for css
Zou niet weten hoe eng het lek dan is, tamelijk triviaal geplakt lijkt me.
Gewoon wat geschreeuw om Mozilla in het niews te krijgen met zo'n plugin, volgens mij kan het in Opera zonder plugin en net zo veilig als Lynx.
Overigens zijn het echte probleem natuurlijk de cookies gekoppeld aan iframes.
23-10-2008, 23:18 door Anoniem
de flash plugin voor lynx laat gelukkig nog even op zich wachten ;-)

chargen.
04-11-2008, 10:25 door Anoniem
maakt nie uit welke browser je gebruikt , gewoon sandboxed browsen , heb je nergens geen problemen mee.

www.sandboxie.com
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure