Internet Explorer 8 maakt cybercrime eenvoudiger
Internet Explorer 8 is van allerlei nieuwe features voorzien die het makkelijker voor computercriminelen maken om toe te slaan, zo waarschuwt beveiligingsbedrijf Websense. De nieuwe Microsoft browser, waarvan onlangs de eerste beta verscheen, ondersteunt cross-domain requests. Hierdoor kunnen aanvallers beveiligingslekken in websites efficiënter misbruiken. In de meeste gevallen worden cross-site scripting lekken gebruikt via een img tag, omdat dit een van de weinig dingen is die met de buitenwereld mogen communiceren. Door het nieuwe XDR object kan een aanvaller scriptcode injecteren die direct met de kwaadaardige server communiceert.
"Door deze directe communicatie is het de verwachting dat injectie payloads in complexiteit en features zullen evolueren. Kwaadaardige raamwerken kunnen worden gebouwd zodat de client continu met de kwaadaardige server communiceert om te bepalen welke acties ondernomen moeten worden. Het stelen van vertrouwelijke informatie is slechts het begin van wat er met nieuwe technologieën zoals deze mogelijk is," zegt beveiligingsonderzoeker Joren McReynolds.
Websense maakt duidelijk dat het probleem niet uniek voor Internet Explorer 8 is, omdat ook andere browsers zoals Firefox het voorbeeld zullen volgen. "De voordelen van directe communicatie zijn zo groot als het gaat om productontwikkeling en interactiviteit, dat ook andere browsers dit zullen implementeren. Security staat altijd op gespannen voet met functionaliteit, wat leidt tot een afweging zonder duidelijke oplossing."
Dit klinkt een beetje raar. Cross-domain scripting is een veiligheidslek zolang
het wurreld-waid-wep al bestaat... Ik lees het artikel meer als een klaagzang
dat IE8 niet genoeg veiligheidsproblemen uit het verleden wegwerkt volgens
de schrijver.
Klinkt een beetje FUD in mijn oren.
voorheen een XmlHttpRequest alleen naar hetzelfde domein
sturen ('same origin policy'). Deze nieuwe interface heeft
die beperking niet. Dit creeert dus een hele nieuwe
aanvalsvector.
Elke nieuwe feature krijgt te maken met nieuwe aanvalsfactoren. Ik vind het
bericht van Websense hierdoor nogal vreemd. Zij gaan namelijk voorbij aan
de verbeterde anti-phising technieken. Hierdoor slaat de balans naar een kant
uit. Maar aan de andere kant; goed nieuws is geen nieuws.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.