Microsoft update voor kritieke Internet Explorer lekken
Microsoft heeft een nieuwe software-update uitgebracht voor Internet Explorer versies 5.01, 5.5 en 6.0. De update verhelpt een lek in het cross-domain security model van Internet Explorer. Hierdoor kon een aanvaller scripts in de Local Machine zone uitvoeren. Het tweede lek betreft het niet verschijnen van een dialoogvenster, waardoor kwaadaardige personen bestanden bij kwetsbare gebruikers konden plaatsen. Tevens heeft Microsoft het incorrect parsen van URLS verholpen. Hierdoor kunnen geen gebruikersnamen en wachtwoorden meer via HTTP of HTTPS URLs verwerkt worden. De volgende syntax kan dan ook niet meer gebruikt worden: http(s)://username:password@server/resource.ext. Deze zeer kritieke update kan via de Windows Update functie of via deze advisory worden gedownload.
username:password@server had ingebakken. Dat is natuurlijk ook niet
erg secure. Wat mij betreft is het dus geen probleem om deze
functionaliteit te verwijderen, waardoor ook het URL spoofing probleem
wordt voorkomen. 2 vliegen in 1klap!
Ik heb toch al nooit begrepen waarom Microsoft zo'n functie met
username:password@server had ingebakken. Dat is natuurlijk
ook niet
erg secure. Wat mij betreft is het dus geen probleem om deze
functionaliteit te verwijderen, waardoor ook het URL
spoofing probleem
wordt voorkomen. 2 vliegen in 1klap!
browsers hun url's afhandelen... het was beter geweest als
Internet Explorer een melding had gemaakt van het feit dat
het er naar uitzag alsof de website in kwestie probeert de
gebruiker voor de gek te houden... maargoed, de gemiddelde
domme eindgebruiker klikt toch wel op 'ok' om vervolgens z'n
creditcard nummer in te vullen..
[url=http://www.w3.org/Addressing/URL/uri-spec.html]hier[/url],
maar zoals we nu al weten houd Microsoft zich niet aan
standaarden.
Compleet ziet dat er zo uit:
https://username:password@server/resource....
Het gaat dus over een beveiligde verbinding !
"username:password@server"
Compleet ziet dat er zo uit:
https://username:password@server/resource....
Het gaat dus over een beveiligde verbinding !
Maar als ik over je schouder mee kijk.....dan heb je wel een beveiligde
verbinding op dat moment, maar heb ik toch je logingegevens!
"username:password@server"
Compleet ziet dat er zo uit:
https://username:password@server/resource....
Het gaat dus over een beveiligde verbinding !
Dit geldt ook voor http://......
enkele wereldwijd geaccepteerde rfc´s eruit gesloopt. Ze
verkopen dit alsof het DE oplossing is om de bugs op te
lossen, maar dat hadden ze nauwkeuriger kunnen doen.
Eigenlijk moet het gezien worden als een dubbele oplossing
omdat mensen zich ook laten misleiden door bij bv
gebruiker:@test.mij als gebruiker een domeinnaam te
gebruiken. Maar dat is dus niet hetzelfde probleem als het
verkeerde adres zien door toegevoegde ongeoorloofde tekens.
Op dit moment zitten behoorlijk wat personen te vloeken op
MS voor deze wijziging. Het kost in veel gevallen behoorlijk
wat werk om alle urls aan te passen om weer wat te kunnen
werken. MS leek in te zien dat heel wat organisaties
problemen krijgen door deze uitgesloopte functie en beweert
hier een omzeiling te hebben om de beveiligings feature weer
uit te schakelen: http://support.microsoft.com/?kbid=834489
Maar helaas, MS heeft niet de juiste informatie verstrekt of
is het vergeten in te bouwen want werken doet het niet. Dank
MS voor dit staaltje belabberd bug fixen en informatie
verstrekken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
