WAARSCHUWINGSDIENST BEVEILIGINGSADVIES WD-2003-228

Mogelijkheid tot

Programma: Internet Explorer, Mozilla, Netscape
Versie: diversen
Besturingssysteem: Windows, Linux


Samenvatting
In een aantal browsers is het mogelijk gebleken een gedeelte van het
internetadres te verbergen. U ziet dan een ander adres dan waar u
daadwerkelijk bent of naartoe gaat.

Het is bijvoorbeeld mogelijk om een link te maken die er in Internet
Explorer en in Outlook Express uitziet alsof hij u naar uw eigen bank
toe leidt. Als u op de link klikt ziet u ook in de adresbalk het adres van
uw eigen bank staan. In werkelijkheid bevindt u zich echter op de
website van een kwaadwillende die op deze wijze vertrouwelijke
gegevens van u probeert te achterhalen.

Andere browsers dan Internet Explorer (zoals Netscape en Mozilla op
verschillende besturingssystemen) geven alleen het verkeerde adres
weer in de statusbalk. In de adresbalk wordt wel het echte adres
weergegeven.

Voorbeeld: Wanneer u in de adresbalk van Internet Explorer het
internetadres http://www.govcert.nl%
00@http://www.waarschuwingsdienst.nl opgeeft, brengt deze link u naar
onze beginpagina van de Waarschuwingsdienst en niet naar de
GOVCERT.NL website (ook al staat het zo in de adresbalk
weergegeven)!

Gevolgen
U kunt het idee hebben op een andere website te zijn dan waar u
daadwerkelijk bent, met als gevolg dat u wellicht vertrouwelijke
gegevens uit handen geeft aan kwaadwillenden of kwaadaardige
software download van een locatie die u denkt te vertrouwen.

Oplossingen
Er is momenteel geen patch beschikbaar voor dit probleem.
Geconcludeerd kan worden dat niet gegarandeerd kan worden dat het
internetadres dat u in uw browser ziet ook echt de plek is waar u op
dat moment bent.


Om er zeker van te zijn dat u daadwerkelijk op de juiste website
terecht komt, type dan zelf het internetadres in in uw browser, of
gebruik uw favorieten of bookmarks.
Als u vertrouwelijke gegevens aan een website wilt doorgeven (zoals
bijvoorbeeld uw creditcardgegevens of een wachtwoord), zorg er dan
ALTIJD voor dat u dat over een beveiligde verbinding doet, en dat de
verbinding ook is opgezet met de juiste website. Een beveiligde
verbinding herkent u aan de letters https in het internetadres en aan
een sleuteltje of een slotje onderin het venster. Klik dubbel op het
sleuteltje of het slotje en controleer of de gegevens van de server (de
naam en de organisatie) kloppen.
Indien u over een proxyserver beschikt dan kunt u uw proxyserver
actie laten ondernemen als een URL de karakters %01%00 bevat
voor het @-teken in de URL.
De URL kan dan geblokkeerd worden, of de betreffende karakters
kunnen uitgefilterd worden.
Links
http://www.secunia.com/advisories/10395/
http://www.secunia.com/advisories/10419/


Technische details
Er is een kwetsbaarheid ontdekt in Internet Explorer en Mozilla
waardoor het mogelijk is om een andere URL te laten weergeven in de
statusbalk en de adresbalk dan de URL die daadwerkelijk bezocht
wordt.

De kwetsbaarheid kan worden misbruikt door een URL te gebruiken die
een gebruikersnaam en wachtwoord bevat, en het @-teken te laten
voorafgaan door de strings "%01" en/of "%00".

Voorbeelden:

De in een HTML-document opgenomen URL http://www.nu.nl%01%
00@http://www.scamsite.com wordt door Internet Explorer in de statusbalk
weergegeven als http://www.nu.nl. Zodra een gebruiker op de URL klikt
wordt de URL ook in de adresbalk weergegeven als http://www.nu.nl

De URL http://www.nu.nl%00@www.scamsite.com wordt incorrect in
de statusbalk weergegeven maar correct in de adresbalk.

Mozzila en Netscape geven dit type URLs niet goed weer in de
statusbalk, maar geven ze wel goed weer in de adresbalk.