Microsoft zal informatielek in Edge niet patchen
Microsoft zal een informatielek in Edge waardoor aanvallers vertrouwelijke informatie kunnen achterhalen niet patchen. Apple en Google hebben het probleem in hun browsers wel verholpen, zo laat Cisco weten. De kwetsbaarheid bevindt zich in de manier waarop Edge de Content Security Policy handhaaft. CSP is een maatregel die cross-site scripting (xss), clickjacking en soortgelijke aanvallen moet voorkomen.
Via een kwaadaardige pagina kan een aanvaller in het geval van Edge het beleid dat via CSP op een server is ingesteld omzeilen en zo een informatielek veroorzaken. Microsoft werd vorig jaar op 29 november door Cisco ingelicht maar liet in maart van dit jaar weten dat het hier niet om een kwetsbaarheid gaat maar een ontwerpkeuze. Er zal dan ook geen patch verschijnen.
Cisco erkent dat informatielekken niet zo ernstig zijn als kwetsbaarheden waardoor een aanvaller willekeurige code kan uitvoeren. Via cross-site scripting is het echter mogelijk om vertrouwelijke informatie te stelen en zelfs gebruikersaccounts over te nemen. De netwerkgigant adviseert gebruikers dan ook om voor een browser te kiezen die CSP ondersteunt en up-to-date blijft met nieuw ontdekte beveiligingslekken, waaronder informatielekken zoals in dit geval.
De omvang van de soms afgedwongen, soms vrijwillige samenwerking met overheidsdiensten als bij voorbeeld NSA door Redmond en andere Big Corporations als Google laat zich nog raden (ondanks dat we na wat er over naar buiten gebracht werd door lekken al wel wat meer kunnen vermoeden).
Op zo'n manier wordt het natuurlijk nooit wat met de beveiliging van de totaal "borked" digitale infrastructuur. Het lijkt op het bouwen van een zandkasteel op het strand, de een bouwt creatief en fraai tot de ander de boel weer in elkaar trapt.
Jammer, maar helaas is dat de werkelijkheid naar mijn zeer bescheiden mening, wel overigens gedragen door de ervaring van veertien jaar "third party cold reconnaissance" scannen. Om moedeloos van te worden, folks.
Tim Berners Lee heeft zich daarvoor al verontschuldigd. Nu alleen nog de echte root cause opgelost zien td krijgen dan dat gekissebis over lapmiddelen die toch telkens niet echt goed blijken te zijn.
Tim Berners Lee heeft zich daarvoor al verontschuldigd. Nu alleen nog de echte root cause opgelost zien td krijgen dan dat gekissebis over lapmiddelen die toch telkens niet echt goed blijken te zijn.
nonsence! geef referentie. het is een browser die de cross site script / request forgery doet, niet de html die door een server terug gestuurd wordt! dit is een serieus probleem geworden toen de stap gezet werd door browsers met meerdere tabs naar meerdere sites te kunnen browsen.
Tim Berners Lee heeft zich daarvoor al verontschuldigd. Nu alleen nog de echte root cause opgelost zien td krijgen dan dat gekissebis over lapmiddelen die toch telkens niet echt goed blijken te zijn.
En zelfs al zou dat zo zijn, de root cause zal niet in korte tijd opgelost worden lijkt me.Dan maar beter een lapmiddel. Het gaat over Edge, niet bepaald een verouderd product.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
