Firefox lek onthult vertrouwelijke informatie
De Nederlandse beveiligingsonderzoeker Ronald van den Heetkamp heeft een lek in Firefox gevonden waardoor aanvallers vertrouwelijke informatie kunnen stelen, zoals logins en wachtwoorden. Volgens van den Heetkamp is het mogelijk om alle variabelen en geregistreerde objecten die zich binnen Javascript bestanden bevinden te lezen. Zelfs het aanroepen van bepaalde functies behoort tot de mogelijkheden. Het gaat om onder andere lokale Mozilla config bestanden en alle geregistreerde extensies.
De onderzoeker testte zijn aanval tegen de Firefox extensie Fire Encypter, en wist een dynamisch gegenereerd wachtwoord te stelen. "Het is mogelijk om actief variabelen te scannen en te kapen wanneer de aanvaller dat wenst."
"Het betekent dat iedereen elk Javascript bestand binnen de chrome:// context kan bereiken en via een eenvoudige Ajax instance al deze informatie op een server kan loggen. Systeem functies kun je zover ik weet niet oproepen. Wel functies in plugins en extensies zijn vrij benaderbaar," zo laat van den Heetkamp tegenover Security.NL weten.
De onderzoeker waarschuwt dat een aanvaller de kwetsbaarheid kan gebruiken voor een denial of service, het schenden van de privacy, achterhalen van informatie en mogelijk onbekende aanvallen.
"Het is me door tijdgebrek nog niet gelukt om de zogenaamde "preferences" te lezen, die bestanden zitten eigenlijk ook niet in de chrome:// context, maar omdat de chrome:// benaderbaar is, is het wellicht mogelijk om een plugin te vragen om een "preference" te lezen en deze terug te sturen naar de chrome://. Dit is puur theoretisch, maar het stelt wel erg veel nieuwe opties beschikbaar voor verdere exploits."
Encrypter ?
In het laatste geval is de kop van dit artikel misleidend.
Is dit een lek in de browser Firefox of in de extensie Fire
Encrypter ?
In het laatste geval is de kop van dit artikel
misleidend.
extensie Fire Encrypter is als eerste slachtoffer geworden
van het lek. De extensie genereert wachtwoorden (of iets
dergelijks) en deze wachtwoorden kunnen via het firefox lek
worden achterhaald.
Zou men via dit lek ook aan de opgeslagen gmail wachtwoorden
kunnen komen wanneer je Gdrive of iets dergelijks gebruikt?
Is dit een lek in de browser Firefox of in de extensie Fire
Encrypter ?
De Add-on Fire Encrypter welke dhr. Ronald van den Heetkamp
zelf gemaakt heeft.
https://addons.mozilla.org/nl/firefox/addon/3208
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.