image

Internet Explorer 11 kan inhoud adresbalk lekken

woensdag 27 september 2017, 12:47 door Redactie, 10 reacties

Een beveiligingslek in Internet Explorer 11 zorgt ervoor dat websites de inhoud van de adresbalk, zoals zoekopdrachten die de gebruiker invoert, kunnen achterhalen. Het probleem doet zich voor als er een script binnen een object-html-tag wordt uitgevoerd en de pagina de compatibility meta-tag bevat.

Dit zorgt ervoor dat de inhoud van wat de gebruiker in de adresbalk invoert wordt teruggegeven. "In andere woorden, als we de location.href van het object achterhalen terwijl de gebruiker de hoofdpagina verlaat, weten we wat hij in de adresbalk heeft getypt, of, als hij op een link klikte, weten we het adres van de link waar de browser naar toe gaat", aldus onderzoeker Manuel Caballero die het probleem ontdekte. Caballero heeft Microsoft niet over de kwetsbaarheid ingelicht. Via deze pagina wordt het beveiligingslek gedemonstreerd.

Image

Video - Revealing the content of the address bar on IE. Bron: YouTube

Reacties (10)
27-09-2017, 13:34 door Anoniem
Wat is een 'internet explorer' ?
27-09-2017, 14:03 door Anoniem
Daarom dus, onder andere,. nooit sessie info, username/password, of andere speciale dingen IN DE URL zetten,.
Komt nog steeds te vaak voor.
27-09-2017, 16:20 door Anoniem
Door Anoniem: Daarom dus, onder andere,. nooit sessie info, username/password, of andere speciale dingen IN DE URL zetten,.
Komt nog steeds te vaak voor.

Ja, dat wordt elke keer weer misbruikt. Het is toch verschrikkelijk! Ik word er helemaal zenuwachtig van.

En dan nu weer normaal: Ik word er niet koud of warm van. Het zal wel, en ook wel weer gepatcht worden.
Haal m'n schouders op en door, Next!
27-09-2017, 16:26 door Anoniem
LOL
Als je Active-X filtering aan hebt staan in IE, dan gaat de Proof of Concept-site over z'n nek en werkt het niet.
Nou, nou wat een lek!
27-09-2017, 17:08 door -karma4
Door Anoniem:
Door Anoniem: Daarom dus, onder andere,. nooit sessie info, username/password, of andere speciale dingen IN DE URL zetten,.
Komt nog steeds te vaak voor.

Ja, dat wordt elke keer weer misbruikt. Het is toch verschrikkelijk! Ik word er helemaal zenuwachtig van.

En dan nu weer normaal: Ik word er niet koud of warm van. Het zal wel, en ook wel weer gepatcht worden.
Haal m'n schouders op en door, Next!

Nou, dat dingen in de URL zetten moet je vergelijken met een huis bouwen zonder steunmuren. Dat gaat gegarandeerd een keer mis. Als je zoiets kan voorkomen door het op een fatsoenlijke manier aan te pakken dan lijkt mij dat niet iets om de schouders bij op te halen!
27-09-2017, 20:30 door VriendP
Je moet internet explorer ook niet gebruiken. Edge ook niet. Bah, vies.
28-09-2017, 08:47 door Anoniem
En dan nu weer normaal: Ik word er niet koud of warm van. Het zal wel, en ook wel weer gepatcht worden.
Haal m'n schouders op en door, Next!
Reageer de volgende keer gewoon niet als iets je niet boeit.

Dit kan nog wel eens impact hebben gezien het feit dat IE11 veel wordt gebruikt in het bedrijfsleven, óók onder Windows 10. Doordat Edge veel legacy zaken heeft laten vallen (ActiveX, plugins als Java en deels Flash) houden veel bedrijven vast aan IE11. Het is dus hopen op een patch van MS.
28-09-2017, 11:31 door [Account Verwijderd]
Door Anoniem: Daarom dus, onder andere,. nooit sessie info, username/password, of andere speciale dingen IN DE URL zetten,.
Komt nog steeds te vaak voor.

Of beter: nooit de adresbalk gebruiken. Gevaar op Typosquatting.

Als ik bijvoorbeeld naar security.nl wil - stel dat ik daarvan nog geen bladwijzer heb - type ik in het zoekveld van Duckduck.go of Startpage of Google "security.nl" dus tussen aanhalingstekens.

In 99,9 % van de ingevoerde 'zoekopdrachten' staat dan de gevraagde URL bovenaan de lijst met zoekresultaten.

Kost even iets meer tijd, maar voorkomt de gevolgen van Typosquatting die niet mis kunnen zijn als je pech hebt.
28-09-2017, 17:13 door Anoniem
Door VriendP: Je moet internet explorer ook niet gebruiken. Edge ook niet. Bah, vies.

Even los van de smaak, al eens goed gekeken naar Edge?

https://blogs.windows.com/msedgedev/2016/09/27/application-guard-microsoft-edge/
29-09-2017, 05:03 door Anoniem
Internet Explorer tsja wie gebruikt dat nou en waarom
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.