Microsoft negeert 600 dagen oud IE-lek
Een 600 dagen oud beveiligingslek in Internet Explorer wacht nog altijd op een patch, ook al is het probleem geruime tijd bij Microsoft bekend. Via de kwetsbaarheid kunnen kwaadwillenden vertrouwelijke gegevens stelen. "Op het eerste gezicht lijk het op een relatief klein cross-origin-lek. Maar met een beetje onderzoek, heeft het grote gevolgen", zegt onderzoeker Chris 'Scarybeast' Evans. "Het lek is vrij eenvoudig: IE ondersteunt een window.onerror callback die actief wordt als er een Javascript pars of runtime fout zich voordoet."
Het probleem zit alleen in Internet Explorer en is nog altijd niet gepatcht. "Ik waarschuwde Microsoft in 2008. Daarom is deze disclosure geen zero-day, maar meer een 600-day", aldus Evans. Hij merkt op dat het lek een interessante geschiedenis heeft. Zo werd in 2006 al ontdekt dat het mogelijk was om via de browser gevoelige gegevens te stelen.
Exploit
In 2007 patchte Mozilla het probleem in Firefox, maar een jaar later ontdekte Evans dat het mogelijk was om de aangebrachte beveiligingsmaatregel te omzeilen. De Firefox demo van Evans bleek echter ook op Internet Explorer te werken, waarop de softwaregigant werd gewaarschuwd. Aangezien er na bijna twee jaar nog altijd geen patch is, besloot Evans tot 'full-disclosure' over te gaan.
Het lek biedt verschillende mogelijkheden om gegevens te stelen, maar die moet de onderzoeker of iemand anders nog uitwerken. Op deze pagina heeft Evans een proof-of-concept neergezet.
http://secunia.com/advisories/41944/
Criticality level -- Not critical
Typically used for very limited privilege escalation vulnerabilities and locally exploitable Denial of Service vulnerabilities.
This rating is also used for non-sensitive system information disclosure vulnerabilities (e.g. remote disclosure of installation path of applications).
Impact -- Exposure of sensitive information
Description:
Chris Evans has reported a vulnerability in Internet Explorer, which can be exploited by malicious people to disclose potentially sensitive information.
The vulnerability is caused due to an error within the handling of the "window.onerror" event, which can be exploited to disclose certain information from other web pages by e.g. including them as script and catching the error messages of the parser.
The vulnerability is confirmed in Internet Explorer 7 and 8 on a fully patched Windows XP SP3 system.
Not Critical.
Desondanks lijkt het me nu toch beslist tijd dat Microsoft dit eens op gaat pakken.
Secunia:
http://secunia.com/advisories/41944/
Criticality level -- Not critical
Typically used for very limited privilege escalation vulnerabilities and locally exploitable Denial of Service vulnerabilities.
This rating is also used for non-sensitive system information disclosure vulnerabilities (e.g. remote disclosure of installation path of applications).
Impact -- Exposure of sensitive information
Description:
Chris Evans has reported a vulnerability in Internet Explorer, which can be exploited by malicious people to disclose potentially sensitive information.
The vulnerability is caused due to an error within the handling of the "window.onerror" event, which can be exploited to disclose certain information from other web pages by e.g. including them as script and catching the error messages of the parser.
The vulnerability is confirmed in Internet Explorer 7 and 8 on a fully patched Windows XP SP3 system.
Not Critical.
Desondanks lijkt het me nu toch beslist tijd dat Microsoft dit eens op gaat pakken.
Toch een blunder in mijn ogen.
Omdat TFA staat dat chrome en firefox dit al heel lang geleden hebben gepatcht.
Omdat IE-9 een beta is.
Omdat alle andere versies van IE wel kwetsbaar zijn.
Omdat nog maar een heel klein deel van de Internet bevolking IE-9 gebruikt, en heel veel anderen IE-6 t/m IE-8.
Lijkt me nogal voor de hand liggend dus.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
