image

Mozilla negeert obfuscatie-lek in Firefox

woensdag 18 augustus 2010, 10:11 door Redactie, 4 reacties

Een beveiligingslek in Firefox is volgens Mozilla niet ernstig genoeg om te patchen, omdat maar weinig mensen de broncode van HTML-pagina's bekijken. Beveiligingsbedrijf Armorize ontdekte een probleem met geobfusceerde URLs die zich in een iframe bevinden. De browser zal in dit geval gebruikers niet waarschuwen als er een andere website wordt geopend dan verwacht. "Dit kan worden gebruikt voor het verspreiden van malware en het stelen van gevoelige informatie", aldus Armorize, dat ook een proof-of-concept online zette.

Volgens Mozilla's Johnathan Nightingale is er niet zoveel aan de hand. Firefox waarschuwt normaliter als de URL van een website de gebruiker probeert te misleiden, bijvoorbeeld good.com@evil.com. In dit geval laadt Firefox de pagina niet en waarschuwt de gebruiker. Deze waarschuwing verschijnt niet als een iframe op de pagina zo'n URL probeert te laden.

Risico
"Dit probleem vormt een klein risico voor gebruikers. Deze aanval gebruikt de verwarring bij gebruikers over de ware bestemming van een link, en alleen als iemand de HTML-broncode van de pagina bekijkt ziet hij de misleidende URL. De meeste gebruikers bekijken niet de broncode van de te laden pagina en lopen daardoor ook geen risico om door deze aanval getroffen te worden", laat Nightingale weten.

Hij merkt op dat Mozilla zich bewust is van de discussie, maar niet van plan is om het te patchen, aangezien het niet gebruikt zou kunnen worden om gebruikers aan te vallen. "Firefox beschikt over ingebouwde phishing en malware-bescherming die gebruikers waarschuwt als ze een gevaarlijke URL willen bezoeken, en het probleem met de geobfusceerde URLs heeft geen impact op deze bescherming."

Reacties (4)
18-08-2010, 12:11 door spatieman
siteadvisor of wot trekken eventueel wel aan de bel (hoop ik)
18-08-2010, 12:52 door Rene V
Noscript kan iFrames blokkeren, en aangezien dat bij de meeste FF gebruikers als addon geïmplemeteerd is, en wellicht ook door velen zodanig geconfigureerd om iFrames te blokkeren, denk ik dat er niet zoveel aan de hand is en geef ik Mozilla gelijk.
18-08-2010, 13:36 door Anoniem
Hoe kan dit gebruikt worden voor " het verspreiden van malware en het stelen van gevoelige informatie" ? Bizar hoeveel nieuws sites dit bericht overnemen terwijl het helemaal nergens over gaat.

Firefox waarschuwt gebruikers over een @-teken in URLs als dit gebruikt kan worden voor phishing, zoals bijvoorbeeld een directe link naar: http://www.google.com@www.evil.org omdat dit verwarring voor de gebruiker kan veroorzaken; het lijkt een link naar www.google.com maar hij stuurt eigenlijk de string "www.google.com" als username naar www.evil.org.

In het geval van een iframe is dit niet aan de orde; iframe src wordt niet aan de gebruiker getoond, dus er kan ook geen verwarring onstaan. (Direct naar evil.org iframen heeft hetzelfde resultaat)

Onzinnig nieuws bericht, waarschijnlijk wil de 'vinder' van het 'lek' reclame maken voor zijn beveiligingsbedrijf.
19-08-2010, 11:51 door Lekensteyn
Helemaal mee eens met Anoniem.
Al kijk je in de statusbalk / beweeg je over links, je ziet "www.evil.org", en niet "google.com@www.evil.org"
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.