2 Jaar oud IE-lek geeft tips voor geitenboer
Gepubliceerd: Dinsdag 2 november 2010
Auteur: Chris Broesder
Internet Explorer is inmiddels al bijna twee jaar lang kwetsbaar voor aanvallen waarmee informatie gestolen kan worden, zegt onderzoeker Chris Evans. Hij waarschuwde Microsoft reeds in december 2008.
De bug zit in het IE mechanisme dat Javascript en runtime errors behandelt. In sommige gevallen kan content die van meerdere bronnen afkomt naar aanvallers gekaatst worden, waardoor ze gevoelige Javascript variabelen kunnen ontvangen.
Geitenboerderij
Ooit kon deze proof of concept de kwetsbaarheid uitbuiten om een security token te stelen die Google Reader gebruikt om XSRF of cross-site aanvallen te voorkomen. Google heeft het probleem destijds opgelost, maar toen het werkte dwong het gebruikers om zich aan te melden voor een feed over hoe je een goede geitenboer wordt. Dit alles zonder permissie te vragen of überhaupt te informeren of personen wel geitenboer willen worden!
Firegeit?
Firefox was ooit kwetsbaar voor deze aanval en men heeft de open source browser in december 2008 dan ook direct gerepareerd. Diezelfde maand werd Microsoft gewaarschuwd voor de fout, maar Microsoft besloot het lek tot op de dag van vandaag doelbewust open te laten.
Niet ernstig
In een reactie van Microsoft zegt Jerry Bryant van het Microsoft Response Team "Microsoft zich bewust is van een niet ernstig probleem dat informatie verschaft aan aanvallers in Internet Explorer." Als een succesvolle aanval mogelijk is, zou dat betekenen dat een site op een specifieke manier opgezet is en die manier zou niet standaard zijn voor de meeste sites. "Men is zich bij Microsoft niet bewust van exploits voor dit lek, maar zullen het melden zodra dat wel het geval is", stelt Bryant.
Bron: Techworld
De rubriek Tips & Tools biedt praktische informatie die IT-professionals in hun dagelijkse werk kunnen toepassen.
