Nieuws

IE8 machteloos tegen lekke PayPal en eBay sites

dinsdag 19 mei 2009, 12:06 door Redactie, 9 reacties

Het nieuwe cross-site scripting-filter in Internet Explorer 8 biedt geen bescherming tegen recent ontdekte beveiligingslekken in de websites van PayPal en eBay, gebruikers van de Firefox extensie NoScript hoeven zich geen zorgen te maken. Via de cross-site scripting (XSS) kwetsbaarheden kunnen aanvallers authenticatie gegevens en andere gevoelige informatie stelen en zelfs financiële transacties in naam van het slachtoffer uitvoeren, zegt Giorgio Maone, de maker van NoScript. Volgens hem heeft Microsoft allerlei features van NoScript aan de eigen browser toegevoegd. "Toen Microsoft het IE8 XSS-filter een jaar geleden onthulde, konden we zien hoe ondanks de gelijkenis met NoScript's anti-XSS bescherming, het toch behoorlijk beperkt was."

Het filter van Internet Explorer biedt alleen bescherming tegen "type 1" XSS-aanvallen, maar kan niet overweg met de "type 0" variant, gaat Maone verder. De kwetsbaarheden in de twee extreem populaire websites werden door hackersgroep "Team Elite" ontdekt. De bugs zijn al een aantal dagen geleden gemeld, maar nog steeds zijn er eenvoudig nieuwe bugs te vinden. Via de lekken is het mogelijk om onder andere iframes te injecteren.

Exclusief
Volgens Maone is het lek in de website opmerkelijk, aangezien die alleen IE treft. "Alle moderne browsers, behalve Internet Explorer, encoderen request URLs op de juiste manier voordat ze die versturen. Misbruik van dit specifieke PayPal lek vereist dat het "dubbele quotes" karakter zonder encodering wordt doorgegeven. Terwijl de meeste XSS exploits op alle browsers werken, treft deze alleen IE."

OpenOffice.org fundamenteel onveilig? (Podcast)

AMTSO legt virusscanner tests op pijnbank

Reacties (9)

19-05-2009, 12:17 door Anoniem

...aldus de maker van NoScript...

19-05-2009, 12:21 door Anoniem

Cross-site scripting is de verantwoordelijkheid van de webmaster. Ga nou niet browsers afzeiken als een 'extraatje' het niet kan tegenhouden. IE8 is goed omdat het al deels bescherming biedt tegen XSS. Het is pas fout als ze beweren dat je absoluut beschermd bent tegen XSS, maar die bewering wordt nergens gedaan.

19-05-2009, 12:43 door Anoniem

Er zijn zoveel risico's en genoeg optie om misbruik temaken van bepaald software. Ik beweer dat Microsoft toch beter af is om bestuuringsysteem water dicht temaken dan ze het zo ontwerpen dat je er alles mee kan doen, maar niet meer kan update of patch via internet. De gebruiker kan van als installeren op zijn bestuuringsysteem zonder dat Administator rechten heeft met bugs is windows zo lek als madje. En al die update en plijsters help een tijdje tot er weer nieuw lek wordt ontdek. Ze moet bestuuringsysteem maken dat automatisch alleenweizigingen ongedaan maken waneer je die internet Explorer afsluit.

19-05-2009, 13:30 door [Account Verwijderd]

[Verwijderd]

19-05-2009, 14:06 door Anoniem

Waarom bestempelen als een "WC-eend onderzoek"? Dit is toch controleerbaar?

19-05-2009, 14:37 door Anoniem

Door Anoniem: Waarom bestempelen als een "WC-eend onderzoek"? Dit is toch controleerbaar?

Lees de eerste reactie hierboven. Wakker?

19-05-2009, 15:50 door Ilja. _V V

Kijk, daarom schreef ik dus niet lang geleden [url=http://www.security.nl/artikel/28674/1/IE8._Geen_vraag._Mededeling....html]alhier waar je de gratis IE8 Blocker Toolkit[/url] kon ophalen. Maakt Microsoft niet voor niets.

19-05-2009, 20:37 door Anoniem

Het lijkt mij ook dat PayPal en Ebay ook beter hun sites moeten beveiligen. Er staat immers ook "tegen lekke PayPal en Ebay sites" Wordt IE beveiligd of gepatcht, dan blijven de lekken in de sites toch nog bestaan. Schiet dus niet op zo! Ik maak vaak gebruik van Paypal en Ebay. Ik loop dus gevaar.....

20-05-2009, 11:26 door SirDice

Door Anoniem: Er zijn zoveel risico's en genoeg optie om misbruik temaken van bepaald software. Ik beweer dat Microsoft toch beter af is om bestuuringsysteem water dicht temaken dan ze het zo ontwerpen dat je er alles mee kan doen, maar niet meer kan update of patch via internet. De gebruiker kan van als installeren op zijn bestuuringsysteem zonder dat Administator rechten heeft met bugs is windows zo lek als madje. En al die update en plijsters help een tijdje tot er weer nieuw lek wordt ontdek. Ze moet bestuuringsysteem maken dat automatisch alleenweizigingen ongedaan maken waneer je die internet Explorer afsluit.

Als ik jou was zou ik zou gaan soliciteren bij Microsoft. Klaarblijkelijk weet jij het allemaal zo goed, zo iemand kunnen ze vast gebruiken.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer