Privacylek in Safari en IE
Gepubliceerd: Vrijdag 23 juli 2010
Auteur: Ernst-Jan Hamel
Oudere versies van IE en Safari bevatten een privacylek. Via de functie 'automatisch aanvullen' kunnen kwaadaardige websites persoonsgegevens van de browser-gebruikers achterhalen.
Security-onderzoeker Jeremiah Grossman presenteert zijn vondst volgende week op Black Hat in Las Vegas. Hij komt naar buiten met het lek omdat de browsermakers in zijn ogen te laat iets doen met zijn melding.
Volgens Grossman kunnen webmasters via de autocomplete-functie gebruikersgegevens van bezoekers oogsten. Websites met velden als 'naam', 'e-mailadres' en 'creditcardnummer', waar de functie 'auto-aanvullen' wordt aangeroepen, kunnen misbruik maken van het lek.
Safari 4 en 5
Het lek is het ernstigst in IE 6 en 7, maar zit ook in Safari 4 en 5, schrijft The Register, de techsite kreeg een demo van Grossman tezien. Bij het invoeren van 1 teken, kan een webmaster alle door 'auto-aanvullen' gesuggereerde opties wegsluizen.
In Firefox en Chrome heeft Grossman een ander lek gevonden. De security-onderzoeker zegt dat via een cross-site scripting-aanval (XSS) door de browser opgeslagen inloggegevens gestolen kunnen worden.
