Ernstige lekken plagen Firefox en Internet Explorer
De Poolse beveiligingsonderzoeker Michal Zalewski heeft een aantal ernstige beveiligingslekken in Firefox en Internet Explorer gevonden waar nog geen patch voor is, en waardoor een aanvaller vertrouwelijke informatie kan stelen of op het systeem bestanden kan downloaden en uitvoeren.
Zo kan een aanvaller in het geval van Firefox via Javascript kwaadaardige code injecteren en zo toetsaanslagen monitoren of getoonde content op een website vervalsen. Het andere grote probleem zorgt ervoor dat door het omzeilen van bevestigingsvensters, een aanvaller, zonder dat de gebruiker dit weet, bestanden kan downloaden en uitvoeren.
Het gevaarlijkste lek bevindt zich in Microsoft's browser. Via Javascript is het mogelijk om op een nieuwe pagina acties uit te voeren met de rechten van de vorige pagina. Hierdoor kan een script cookies achterhalen of plaatsen, pagina's wijzigen, de browser laten crashen of in het ergste geval de PC overnemen. Het tweede lek in Microsoft's browser treft alleen de zesde editie, en zorgt ervoor dat een aanvaller de adresbalk kan spoofen, mogelijk ook met SSL gegevens.
Een demonstratie van Zalewski's kwetsbaarheden is via deze advisory te vinden. Het is trouwens niet alleen de Pool die Firefox op de korrel heeft genomen. Onderzoeker Thor Larholm ontdekte dat het "directory traversal lek" met Firefox 2.0.0.4 alleen in Windows gepatcht is, maar niet in Unix/Linux en OS X. Hierdoor kan een aanvaller alle voor de gebruiker toegankelijke lokale bestanden lezen.
Doch de manier waarop het "directory traversal lek" in Linux werkt, is mij
niet duidelijk. Is het ook dmv Java? En de "alle voor de gebruiker
toegankelijke lokale bestanden", wat zijn die dan en hoe diep kan een
aanvaller gaan?
Capricornus
Is het ook dmv Java?
bestanden", wat zijn die dan en hoe diep kan een aanvaller
gaan?
Ik voer een restrictief beleid met NoScript.
Capricornus
Hier idem dmv. de restricted sites zones.
"All sites are restricted unless otherwise indicated".
Nog nooit een probleem gehad met IE
gisterennacht in de weer geweest met dit "lek" en weet dus
dat meneertje Michal Zalewski geen rekening heeft gehoude
met NOscript. Want als deze extensie in de browser zit, dan
wordt er helemaal NIX uitgevoerd.
Firefox met NOscript, de veiligste browser there is
Is het ook dmv Java?
au.
Ik kan aardig programeren in Java, maar javascript beheers ik niet.
Rara hoe kan dat?
Java ‚ Javascript
beiden ter sprake is bij zowat alle ernstige lekken in de browsers.
Geen goed teken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.