Firefox "lekt" MSN en Gmail logingegevens
De Poolse beveiligingsonderzoeker Michal Zalewski heeft weer een beveiligingslek in Mozilla's open source browser Firefox ontdekt. Dit keer gaat het om een probleem waardoor aanvallers de logingegevens van bekende websites en diensten zoals Google, Gmail, MSN en AOL kunnen stelen. Het probleem zit hem in de manier waarop Firefox met bookmarks omgaat.
Om de aanval te laten werken moet een aanvaller de gebruiker een venster laten bookmarken dat niet naar een fysieke locatie verwijst, maar naar een "inline data: URL scheme". Als die link later geladen wordt, kan JavaScript in de context van de openstaande website worden uitgevoerd en kan de aanvaller de gebruiker z'n "credentials" stelen.
Hoewel het zeer onwaarschijnlijk is, kan het lek ook misbruikt worden om het systeem over te nemen. Het slachtoffer zou dan in lokale bestanden of speciale URL's moeten browsen voordat de "vergiftigde bookmark" geopend wordt. Op deze pagina wordt een demonstratie van het lek gegeven.
van geen kanten. De reden?
NO SCRIPT blokkeert gewoon dit lek.
Voor installatie van deze extensie ga naar:
https://addons.mozilla.org/firefox/722/
ik dat dan toch maar naast mn adblock plus installatie gebruiken
Vertrouwen als ik heb in Security.nl heb ik direct het
aanbevolen scriptje geïnstalleerd. Vervelend is echter wel
dat bijvoorbeeld reacties van lezers op nieuws-items (@home)
niet meer te zien zijn. Zo zijn er ook andere pagina's waar
opeens onderdelen lijken te ontbreken.
Misschien moet ik nog een instelling in Mozilla aanpassen of
is het anders op te lossen? Zo niet dan verneem ik graag
waar ik de installatie van het scriptje ongedaan kan maken.
Bedankt voor jullie reactie,
Ed
(waar ze waarschijnlijk ook nog wel 20 lekken in gaan vinden)
Jullie zullen zo onderhand wel denken, daar komt die
achterlijke Linux freak weer, maar het licht toch *echt* aan
het besturingssysteem hoor!
Ik gebruik Firefox zowel onder Linux als onder Windows,
echter onder Linux had ik geen last van opdringerige scripts
en onder Windows was het meteen weer raak vandaag.
Gooi die oogkleppen toch alsjeblieft (voor je eigen bestwil)
eens een keer af, want de conclusie is zonneklaar: Windows
is defetive by design!
Het spijt me wel voor meneer Zalewski, maar het lek werkt
van geen kanten. De reden?
NO SCRIPT blokkeert gewoon dit lek.
Voor installatie van deze extensie ga naar:
https://addons.mozilla.org/firefox/722/
Reclame voor WC-eend, nu maar weer eens een keer voor NoScript.
Worden sommige posters hier soms betaald of zo?
Het spijt me wel voor meneer Zalewski, maar het lek werkt
van geen kanten.
prima op een basis installatie van firefox. dat het met
bepaalde addons tegen te gaan valt is natuurlijk een ander
verhaal. moeten we nu alle exploits niet zo zien omdat er
via een ander programma wat tegen te doen valt. exploit op
windows via internet, met firewall opeens geen exploit meer.
beetje onzin peter.
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.