XSS-filter in IE8 maakt veilige sites onveilig
Gepubliceerd: Woensdag 21 april 2010
Auteur: Chris Broesder
Microsoft zal in juni voor de derde keer aanpassingen doen aan het XSS scripting filter in IE. Beveiligingsdeskundigen hebben aangetoond dat de securityfunctie nog steeds misbruikt kan worden.
De ethische hackers Eduardo Vela Nava and David Lindsay lieten vorige week op de Black Hat conferentie in Barcelona zien hoe het cross-site scripting filter in Internet Explorer 8 misbruikt kan worden om websites aan te vallen die normaal juist immuun zouden zijn voor dergelijke malware. Dit terwijl XSS juist ontworpen is om te beschermen tegen dit soort misbruik. Kwaadwillende hackers kunnen zelfs de sites van Google, Twitter, Wikipedia en ook Bing gebruiken voor hun snode plannen.
Valstrik
Volgens de researchers Vela Nava en Lindsay kan een aanvaller het cross-site scripting filter "gebruiken voor zijn eigen doeleinden en zo ook beveiliging van het slachtoffer uit te schakelen. Dit kan leiden tot XSS die anders nooit mogelijk zou zijn."
Met XSS exploits kunnen hackers malafide code of content injecteren in websites door gebruikers te verleiden om op links te klikken die een valstrik zijn. Vanwege het feit dat de links gewoon beginnen met een vertrouwenswaardig domein zoals Google, wekken ze weinig achterdocht bij de gebruiker. Het XSS filter van Microsoft is eigenlijk ontworpen om dergelijke aanvallen tegen te gaan.
Driemaal is scheepsrecht
In januari en maart van dit jaar heeft Microsoft al gezorgd dat een aantal aanvalsscenario's van Vela Nava en Lindsay niet meer mogelijk zijn met de beveiligingsupdates MS10-002 en MS10-018. Volgens David Ross van het Microsoft Security Response Center wil Microsoft met de nieuwe update het scenario voorkomen dat is beschreven op Black Hat. "Het probleem doet zich voor als een kwaadaardig script 'losbreekt' uit een constructie die zich al binnen een bestaand scriptblok bevindt", schrijft hij.
Bron: Techworld.nl
