De white hackers Eduardo Vela Nava and David Lindsay lieten vorige week zien hoe het cross-site scripting filter in Internet Explorer 8 misbruikt kan worden om websites aan te vallen die normaal juist immuun zouden zijn voor dergelijke malware. Dit terwijl XSS juist ontworpen is om te beschermen tegen dit soort misbruik. Kwaadwillende hackers kunnen zelfs de sites van Google, Twitter, Wikipedia en ook Bing gebruiken voor hun snode plannen.

De valstrik

Volgens de researchers Vela Nava en Lindsay kan een aanvaller het cross-site scripting filter “gebruiken voor zijn eigen doeleinden en zo ook beveiliging van het slachtoffer uit te schakelen. Dit kan leiden tot XSS die anders nooit mogelijk zou zijn.”

Met XSS exploits kunnen hackers malafide code of content injecteren in websites door gebruikers te verleiden om op links te klikken die een valstrik zijn. Vanwege het feit dat de links gewoon beginnen met een vertrouwenswaardig domein zoals Google, wekken ze weinig achterdocht bij de gebruiker. Het XSS filter van Microsoft is eigenlijk ontworpen om dergelijke aanvallen tegen te gaan.

Driemaal is scheepsrecht

In januari en maart van dit jaar heeft Microsoft al gezorgd dat een aantal aanvalsscenario’s van Vela Nava en Lindsay niet meer mogelijk zijn met de beveiligingsupdates MS10-002 en MS10-018. Volgens David Ross van het Microsoft Security Response Center wil Microsoft met de nieuwe update het scenario voorkomen dat is beschreven op Black Hat. "Het probleem doet zich voor als een kwaadaardig script 'losbreekt' uit een constructie die zich al binnen een bestaand scriptblok bevindt", schrijft hij

Bron: Techworld