image

Oplichters misbruiken ongepatchte lekken in Firefox en IE

maandag 9 maart 2009, 15:43 door Redactie, 7 reacties

Ongepatchte kwetsbaarheden in zowel Internet Explorer als Firefox werden door eBay-oplichters gebruikt om nepadvertenties te plaatsen en zo gebruikers te duperen. De aanvallers wisten kwaadaardige code op de pagina’s van de veilingsite te injecteren, die weer misbruik van lekken in Firefox en IE maakten. Ondanks het feit dat eBay inmiddels de aanval op de eigen website blokkeert, lopen andere sites die content van derden accepteren nog wel risico.

Door middel van cross-site-scripting (XSS) is het mogelijk JavaScript elementen, die ondergebracht worden op andere websites, te plaatsen in advertenties. Zo plaatsten de aanvallers een link die gebruikers de verkoper naar een aol.com adres laat mailen en gebruikt men ook een cijfergenerator om het objectnummer te wijzigen. Dit nummer is normaliter uniek en wordt gebruikt om fraude te melden. Door het nummer te wijzigen, wordt het lastiger voor eBay om frauduleuze objecten te verwijderen.

Mozilla patcht wel
De aanvallers maakten gebruik van de manier waarop Firefox de XML Binding Language (XBL) implementeert. Door een kwaadaardige cascade style sheet (CSS) aan te spreken, die op een andere website is ondergebracht, laadt de browser de kwaadaardige code. Tussen de ontwikkelaars van Firefox was er een heftige discussie of het hier wel om een beveiligingslek gaat, maar vanwege het misbruik heeft men toch besloten de kwetsbaarheid te patchen. Eén van de ontwikkelaars laat weten dat er een patch komt, maar dat die eBay niet echt zal helpen, tenzij ze de toegestane CSS gaan filteren.

Terwijl Mozilla aangeeft het lek te gaan patchen, zegt Microsoft dat de aanval niet het resultaat is van een lek in Internet Explorer en dat de bestrijding van dit probleem bij de websites in kwestie ligt. "Ons onderzoek toont aan dat het geen lek in onze browser is", aldus woordvoerder Bill Sisk. "In werkelijkheid gebruiken de aanvallers een specifieke functionaliteit van de website om de beveiliging te omzeilen. Deze aanvallen zijn niet nieuw en veel websitebeheerders treffen hier maatregelen tegen”, waarschuwt Sisk.

eBay laat in een reactie weten dat het om een bekende bug in Firefox gaat en men nieuwe dreigingen continu monitort. Toch had de veilingsite meer dan 24 uur nodig om de frauduleuze veiling te verwijderen.

Reacties (7)
09-03-2009, 16:16 door Night
Samengevat zie ik het zo

- Mozilla zegt: niet onze fout maar fixed wel
- eBay zegt: niet onze fout maar fixed wel
- Microsoft zegt: niet onze fout en fixed niet

En over een paar maand heeft Microsoft een Bugfix minder in de vergelijking en komt als veiliger uit de bus.
Rare jongens die romeinen zou Obelix hebben gezegd maar geef ze eens ongelijk.
09-03-2009, 16:47 door Anoniem
Wiens fout is het dan wel?
Moet w3c.org hier nu iets over gaan roepen?

Het is natuurlijk kul dat dat een browser-fabrikant iets moet gaan patchen wat volkomen legaal en volgens de regels is.

Net zo zot als dat een autofabrikant alle auto's terugroept om betere vering te installeren omdat ergens een wegbeheerder een weg vol met gaten heeft aangelegd.
09-03-2009, 16:57 door Anoniem
jajaja ... weer een MS bash,
Domme uitroep van zo'n domme kuddeschaap
09-03-2009, 17:39 door cyberpunk
Door middel van cross-site-scripting (XSS)...

Waartegen de NoScript add-on me beschermt. :-)
09-03-2009, 17:55 door spatieman
noscript mag wel bescherming bieden.
maar opletten is het altijd geblazen.
09-03-2009, 19:47 door Anoniem
noscript beschermt niet tegen het met externe CSS bestanden visueel aanpassen van de pagina (teksten vervangen, bestaande teksten onzichtbaar maken waardoor het lijkt alsof je op iets heel anders biedt), wat hier gebeurde. Dat er ook nog scripts in deze CSS bestanden werden gelinkt is in zekere zin eigenlijk maar bijzaak.
10-03-2009, 09:21 door Night
Door Anoniemjajaja ... weer een MS bash,
Domme uitroep van zo'n domme kuddeschaap

Bedankt voor je mening en alle respect daarvoor van mijn kant, maar wat was eigenlijk je mening over dit topic?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.