Oplichters misbruiken ongepatchte lekken in Firefox en IE
Ongepatchte kwetsbaarheden in zowel Internet Explorer als Firefox werden door eBay-oplichters gebruikt om nepadvertenties te plaatsen en zo gebruikers te duperen. De aanvallers wisten kwaadaardige code op de pagina’s van de veilingsite te injecteren, die weer misbruik van lekken in Firefox en IE maakten. Ondanks het feit dat eBay inmiddels de aanval op de eigen website blokkeert, lopen andere sites die content van derden accepteren nog wel risico.
Door middel van cross-site-scripting (XSS) is het mogelijk JavaScript elementen, die ondergebracht worden op andere websites, te plaatsen in advertenties. Zo plaatsten de aanvallers een link die gebruikers de verkoper naar een aol.com adres laat mailen en gebruikt men ook een cijfergenerator om het objectnummer te wijzigen. Dit nummer is normaliter uniek en wordt gebruikt om fraude te melden. Door het nummer te wijzigen, wordt het lastiger voor eBay om frauduleuze objecten te verwijderen.
Mozilla patcht wel
De aanvallers maakten gebruik van de manier waarop Firefox de XML Binding Language (XBL) implementeert. Door een kwaadaardige cascade style sheet (CSS) aan te spreken, die op een andere website is ondergebracht, laadt de browser de kwaadaardige code. Tussen de ontwikkelaars van Firefox was er een heftige discussie of het hier wel om een beveiligingslek gaat, maar vanwege het misbruik heeft men toch besloten de kwetsbaarheid te patchen. Eén van de ontwikkelaars laat weten dat er een patch komt, maar dat die eBay niet echt zal helpen, tenzij ze de toegestane CSS gaan filteren.
Terwijl Mozilla aangeeft het lek te gaan patchen, zegt Microsoft dat de aanval niet het resultaat is van een lek in Internet Explorer en dat de bestrijding van dit probleem bij de websites in kwestie ligt. "Ons onderzoek toont aan dat het geen lek in onze browser is", aldus woordvoerder Bill Sisk. "In werkelijkheid gebruiken de aanvallers een specifieke functionaliteit van de website om de beveiliging te omzeilen. Deze aanvallen zijn niet nieuw en veel websitebeheerders treffen hier maatregelen tegen”, waarschuwt Sisk.
eBay laat in een reactie weten dat het om een bekende bug in Firefox gaat en men nieuwe dreigingen continu monitort. Toch had de veilingsite meer dan 24 uur nodig om de frauduleuze veiling te verwijderen.
- Mozilla zegt: niet onze fout maar fixed wel
- eBay zegt: niet onze fout maar fixed wel
- Microsoft zegt: niet onze fout en fixed niet
En over een paar maand heeft Microsoft een Bugfix minder in de vergelijking en komt als veiliger uit de bus.
Rare jongens die romeinen zou Obelix hebben gezegd maar geef ze eens ongelijk.
Moet w3c.org hier nu iets over gaan roepen?
Het is natuurlijk kul dat dat een browser-fabrikant iets moet gaan patchen wat volkomen legaal en volgens de regels is.
Net zo zot als dat een autofabrikant alle auto's terugroept om betere vering te installeren omdat ergens een wegbeheerder een weg vol met gaten heeft aangelegd.
Waartegen de NoScript add-on me beschermt. :-)
maar opletten is het altijd geblazen.
Domme uitroep van zo'n domme kuddeschaap
Bedankt voor je mening en alle respect daarvoor van mijn kant, maar wat was eigenlijk je mening over dit topic?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
