image

Onderzoeker onthult XSS-lek in Internet Explorer 11

woensdag 4 februari 2015, 17:11 door Redactie, 3 reacties

Een beveiligingsonderzoeker heeft een kwetsbaarheid in Internet Explorer 11 ontdekt waardoor een kwaadaardige website bijvoorbeeld cookies uit andere geopende tabs kan stelen of kwaadaardige code kan injecteren. Om de Cross Site Scripting (XSS)-aanval uit te kunnen voeren moet een gebruiker wel eerst naar een kwaadaardige website worden gelokt, zo laat Microsoft tegenover Ars Technica weten.

De kwetsbaarheid werd afgelopen vrijdag door onderzoeker David Leo via de Full Disclosure-mailinglist onthuld, die ook deze demonstratie online zette. Microsoft laat aan The Register weten dat het geen tijdsvenster had gekregen om de kwetsbaarheid te verhelpen. Leo stelt echter dat hij de softwaregigant op 13 oktober vorig jaar had ingelicht. Inmiddels zegt Microsoft aan een update te werken. Wanneer die verschijnt is nog onbekend. Volgens Microsoft zijn er nog geen aanvallen waargenomen die van het lek gebruik maken. De kwetsbaarheid is bevestigd in de meest recente IE11-versie op Windows 7 en Windows 8.1.

"Om het risico te vermijden adviseer ik altijd om meerdere browsers beschikbaar te hebben en totdat er een oplossing is een alternatief zoals Firefox of Chrome te gebruiken", zegt TK Keanini van Lancope tegen Security.NL. Volgens Stephen Coty van Alert Logic valt de impact van het lek mee. Alleen IE11-gebruikers op Windows 7 en 8.1 zouden risico lopen. Daarnaast moet de gebruiker een website bezoeken waar een iframe is geïnjecteerd. Eerder stelde Joey Fowler van Tumblr dat de XSS-aanval niet werkt tegen websites die de X-Frame-Options headers gebruiken.

Reacties (3)
05-02-2015, 00:13 door Anoniem
Hm. werkt.

zou dat ook werken met een IE11 html mail cient waarbinnen ik op een klikhier klik? en dan op facebook uitkom waar ik op mag inloggen? Brrr.
06-02-2015, 09:52 door Anoniem
Door Anoniem: Hm. werkt.

zou dat ook werken met een IE11 html mail cient waarbinnen ik op een klikhier klik? en dan op facebook uitkom waar ik op mag inloggen? Brrr.

Ik hoop dat de meeste mailservers phishing links filteren, niet allen maar wel een paar.
Clamav doet het bijvoorbeeld.
09-02-2015, 12:13 door Sijmen Ruwhof
In eigen onderzoek ben ik erachter gekomen dat 'x-frame-options' alleen beschermt tegen HTML-injectie en niet tegen session hijacking via het stelen van sessiecookies. Daarom is het erg belangrijk om aanvullend ook overal 'HttpOnly' op cookies te activeren.

Meer informatie over te nemen mitigaties tegen het lek in IE 10 en 11:
http://sijmen.ruwhof.net/weblog/427-mitigations-against-critical-universal-cross-site-scripting-vulnerability-in-fully-patched-internet-explorer-10-and-11
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.