Nieuw Internet Explorer lek opent harde schijf voor websites
Een nieuw en ongepatcht beveiligingslek in Internet Explorer geeft websites toegang tot alle bestanden op een harde schijf, zo waarschuwt de Nederlandse beveiligings- onderzoeker Ronald van den Heetkamp. De onderzoeker gebruikte een eerder ontdekt lek in Firefox en paste dat toe op Microsoft's browser, om zo de focus te stelen. "De reden dat ik dit demonstreer, is om te laten zien hoe een kleine verandering van denkwijze tot een cross browser exploit kan leiden," aldus de beveiliger, die het lek binnen een uur vond.
Normaliter is het niet mogelijk om JavaScript automatisch bestanden van een PC te laten uploaden. Dit kan alleen als de gebruiker zelf een bestand selecteert en uploadt. De exploit demonstreert hoe een website dit wel kan doen, door focus van de gebruiker te stelen en de beveiligingsmaatregelen van de browser te omzeilen. "Het voorbeeld is niet schadelijk, maar als men weet hoe het te gebruiken, kan elke site alle bestanden van je PC uploaden naar een server zonder dat je het door hebt", laat van den Heetkamp tegenover Security.NL weten.
wat veiliger, bewuster (en makkelijker) kunnen internetten. En als het
nodige is om de hd te benaderen dat je voor die website een aparte
browser moet openen, buiten die sandbox of in een minder gelimiteerde
sandbox. (Ik zeg zo maar ff snel iets, maar er moet iets veranderen
aan de huidige browsers zodat je systeem niet direct benaderd kan
worden door de browser, het zou me nm. niet verbazen als via deze lek ook
de gegevens verwijderd kunnen worden).
hebben? Of gluren zij al jaren mee op mijn harde schijf?? en
al die andere o zo koosjere webstekken?
Browser moeten standaard een sandbox mode hebben. Zodat gebruikers
wat veiliger, bewuster (en makkelijker) kunnen internetten. En als het
nodige is om de hd te benaderen dat je voor die website een aparte
browser moet openen, buiten die sandbox of in een minder gelimiteerde
sandbox. (Ik zeg zo maar ff snel iets, maar er moet iets veranderen
aan de huidige browsers zodat je systeem niet direct benaderd kan
worden door de browser, het zou me nm. niet verbazen als via deze lek ook
de gegevens verwijderd kunnen worden).
In Vista is dat de standaard situatie.
In Vista is dat de standaard situatie.
Sorry, maar dit valt in de categorie van "In de volgende
versie is dit opgelost". Alleen kost die volgende versie wel
elke keer weer een bak met geld in dit geval.
maar ik ga noscript ook niet aan passen.
hebben ongetwijfeld gezien dat Windows XP met SP2 in combinatie met IE
7 niet kwetsbaar is.
Response Center. Gedurende het onderzoek kunnen wij echter geen
commentaar leveren op de status en/of de voortgang.
Overigens is het altijd aan te raden mogelijke beveiliginsproblemen te
melden via het email adres : [email]secure@microsoft.com[/email].
Groeten,
Ruud de Jonge
Microsoft Nederland
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.