"Cool" beveiligingslek in Internet Explorer 7 en Firefox
De Poolse onderzoekers Michal Zalewski die de afgelopen weken verschillende beveiligingslekken in Firefox heeft ontdekt, waarschuwt nu voor een "cool" lek in Internet Explorer 7. De "combinatie kwetsbaarheid" zorgt ervoor dat een aanvaller de bezoeker van een kwaadaardige website kan "vangen", dat wil zeggen dat het slachtoffer niet op een normale manier de pagina kan verlaten.
Daarnaast is het mogelijk om de overgang tussen pagina's te spoofen, waardoor de gebruiker denkt dat hij de pagina heeft verlaten, omdat de adresbalk een ander adres weergeeft, terwijl dit in werkelijkheid niet het geval is. Volgens Zalewski opent dit een reeks van vervelende opties voor spoofing en phishingaanvallen. Zoals altijd heeft de onderzoeker ook een demonstratie online geplaatst.
Ernstig lek in Firefox
Verder waarschuwt de Pool dat Firefox voor dit specifieke lek niet kwetsbaar is, maar gezien het gedrag wel kwetsbaar is voor een variant van de bug.
Na wat verder onderzoek blijkt dat het probleem in Mozilla's browser veel ernstiger is, waardoor mogelijk het systeem kan worden overgenomen. Mozilla is inmiddels ingelicht, maar wanneer er een patch verschijnt is nog niet bekend. Firefox gebruikers die hun browser willen testen kunnen hier terecht. Sommige beveiligingsexperts hebben Zalewski gevraagd wanneer hij Opera eens onder handen neemt.
UPDATE: na de laatste update voor Firefox 2.0.0.2 die vandaag is uitgegeven werkt het lek ook niet als NOSCRIPT wordt uitgezet. Kennelijk verholpen?
Alweer: NOSCRIPT voorkomt de uitvoer van dit lek.
Dat mag wel waar zijn, maar als je op alle sites noscript
gebruikt, dan ik dat je een hoop functionaliteit mist, zoals
bijv. clientside validatie en AJAX. Lijkt mij toch wel een
vervelende gebruikerservaring.
gebruikt, dan ik dat je een hoop functionaliteit mist, zoals
bijv. clientside validatie en AJAX. Lijkt mij toch wel een
vervelende gebruikerservaring.
je kunt deze functionaliteit terugkrijgen door tijdelijk
JavaScript toe te staan. En alle sites die in je bookmarks
staan worden toegestaan met NoScript. Het houdt dus alleen
onbekende sites tegen...
Alweer: NOSCRIPT voorkomt de uitvoer van dit lek.
toestaat, al dan niet door socialengineering. Dat zou een
reeds 'vertrouwde' site kunnen zijn, die gecompromitteerd is.
In principe kan ondersteuning van JavaScript beter permanent
uit.
hij Opera eens onder handen neemt.
ik Opera als webbrowser gebruik.
Alweer: NOSCRIPT voorkomt de uitvoer van dit lek.
Dat mag wel waar zijn, maar als je op alle sites noscript
gebruikt, dan ik dat je een hoop functionaliteit mist, zoals
bijv. clientside validatie en AJAX. Lijkt mij toch wel een
vervelende gebruikerservaring.
illustratie hoe dergelijke website ontwikkelaars
niet met gebruikers rekening houden.
Op client-side verificatie kun je overigens niet vertrouwen.
Verificatie beter server-side.
gevraagd wanneer hij Opera eens onder handen neemt.
zitten aangezien ik Opera als webbrowser gebruik.
de artikelen staan links naar de betreffende tests.
gevraagd wanneer
hij Opera eens onder handen neemt.
zitten aangezien
ik Opera als webbrowser gebruik.
Mjah, ik ook. Ben daar ook best benieuwd naar.. Alhoewel Opera in veel mindere mate gebruikt wordt en derhalve ook veel minder interressant is voor dit soort malware schrijvers of bug zoekers.
gebruikt, dan ik dat je een hoop functionaliteit mist, zoals
bijv. clientside validatie en AJAX. Lijkt mij toch wel een
vervelende gebruikerservaring.
je kunt deze functionaliteit terugkrijgen door tijdelijk
JavaScript toe te staan. En alle sites die in je bookmarks
staan worden toegestaan met NoScript. Het houdt dus alleen
onbekende sites tegen...
Het toestaan van JavaScript op sites in je bookmarks is
eveneens een optie
er staat. Dan kom je erachter dat Opera ook vulnerable is, helaas...
gevraagd wanneer
hij Opera eens onder handen neemt.
zitten aangezien
ik Opera als webbrowser gebruik.
Mjah, ik ook. Ben daar ook best benieuwd naar.. Alhoewel Opera in veel
mindere mate gebruikt wordt en derhalve ook veel minder interressant is
voor dit soort malware schrijvers of bug zoekers.
Nou, dan gebruik je de test toch lekker in een opera browser? dan weet je
het!
gebruikt, dan ik dat je een hoop functionaliteit mist, zoals
bijv. clientside validatie en AJAX. Lijkt mij toch wel een
vervelende gebruikerservaring.
je kunt deze functionaliteit terugkrijgen door tijdelijk
JavaScript toe te staan. En alle sites die in je bookmarks
staan worden toegestaan met NoScript. Het houdt dus alleen
onbekende sites tegen...
Dat kan met IE al jaaaaren!
Restricted sites-zone in IE.
wel even dat de site geladen is, maar de browser crasht niet
meer.
Deze exploit werkt niet meer met firefox 2.0.0.2. Het duurt
wel even dat de site geladen is, maar de browser crasht niet
meer.
vervelende ongewenste dingen doen met JavaScript.
Alweer: NOSCRIPT voorkomt de uitvoer van dit lek.
Dat mag wel waar zijn, maar als je op alle sites noscript
gebruikt, dan ik dat je een hoop functionaliteit mist, zoals
bijv. clientside validatie en AJAX. Lijkt mij toch wel een
vervelende gebruikerservaring.
Overigens mis ik wat er "cool" is aan dit lek, kan iemand
het mij vertellen ?
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.