Nieuws
image

IE8 machteloos tegen lekke PayPal en eBay sites

dinsdag 19 mei 2009, 12:06 door Redactie, 9 reacties

Het nieuwe cross-site scripting-filter in Internet Explorer 8 biedt geen bescherming tegen recent ontdekte beveiligingslekken in de websites van PayPal en eBay, gebruikers van de Firefox extensie NoScript hoeven zich geen zorgen te maken. Via de cross-site scripting (XSS) kwetsbaarheden kunnen aanvallers authenticatie gegevens en andere gevoelige informatie stelen en zelfs financiële transacties in naam van het slachtoffer uitvoeren, zegt Giorgio Maone, de maker van NoScript. Volgens hem heeft Microsoft allerlei features van NoScript aan de eigen browser toegevoegd. "Toen Microsoft het IE8 XSS-filter een jaar geleden onthulde, konden we zien hoe ondanks de gelijkenis met NoScript's anti-XSS bescherming, het toch behoorlijk beperkt was."

Het filter van Internet Explorer biedt alleen bescherming tegen "type 1" XSS-aanvallen, maar kan niet overweg met de "type 0" variant, gaat Maone verder. De kwetsbaarheden in de twee extreem populaire websites werden door hackersgroep "Team Elite" ontdekt. De bugs zijn al een aantal dagen geleden gemeld, maar nog steeds zijn er eenvoudig nieuwe bugs te vinden. Via de lekken is het mogelijk om onder andere iframes te injecteren.

Exclusief
Volgens Maone is het lek in de website opmerkelijk, aangezien die alleen IE treft. "Alle moderne browsers, behalve Internet Explorer, encoderen request URLs op de juiste manier voordat ze die versturen. Misbruik van dit specifieke PayPal lek vereist dat het "dubbele quotes" karakter zonder encodering wordt doorgegeven. Terwijl de meeste XSS exploits op alle browsers werken, treft deze alleen IE."

Reacties (9)
19-05-2009, 12:17 door Anoniem
...aldus de maker van NoScript...
19-05-2009, 12:21 door Anoniem
Cross-site scripting is de verantwoordelijkheid van de webmaster. Ga nou niet browsers afzeiken als een 'extraatje' het niet kan tegenhouden. IE8 is goed omdat het al deels bescherming biedt tegen XSS. Het is pas fout als ze beweren dat je absoluut beschermd bent tegen XSS, maar die bewering wordt nergens gedaan.
19-05-2009, 12:43 door Anoniem
Er zijn zoveel risico's en genoeg optie om misbruik temaken van bepaald software. Ik beweer dat Microsoft toch beter af is om bestuuringsysteem water dicht temaken dan ze het zo ontwerpen dat je er alles mee kan doen, maar niet meer kan update of patch via internet. De gebruiker kan van als installeren op zijn bestuuringsysteem zonder dat Administator rechten heeft met bugs is windows zo lek als madje. En al die update en plijsters help een tijdje tot er weer nieuw lek wordt ontdek. Ze moet bestuuringsysteem maken dat automatisch alleenweizigingen ongedaan maken waneer je die internet Explorer afsluit.
19-05-2009, 13:30 door [Account Verwijderd]
[Verwijderd]
19-05-2009, 14:06 door Anoniem
Waarom bestempelen als een "WC-eend onderzoek"? Dit is toch controleerbaar?
19-05-2009, 14:37 door Anoniem
Door Anoniem: Waarom bestempelen als een "WC-eend onderzoek"? Dit is toch controleerbaar?
Lees de eerste reactie hierboven. Wakker?
19-05-2009, 15:50 door Ilja. _V V
Kijk, daarom schreef ik dus niet lang geleden [url=http://www.security.nl/artikel/28674/1/IE8._Geen_vraag._Mededeling....html]alhier waar je de gratis IE8 Blocker Toolkit[/url] kon ophalen. Maakt Microsoft niet voor niets.
19-05-2009, 20:37 door Anoniem
Het lijkt mij ook dat PayPal en Ebay ook beter hun sites moeten beveiligen. Er staat immers ook "tegen lekke PayPal en Ebay sites" Wordt IE beveiligd of gepatcht, dan blijven de lekken in de sites toch nog bestaan. Schiet dus niet op zo! Ik maak vaak gebruik van Paypal en Ebay. Ik loop dus gevaar.....
20-05-2009, 11:26 door SirDice
Door Anoniem: Er zijn zoveel risico's en genoeg optie om misbruik temaken van bepaald software. Ik beweer dat Microsoft toch beter af is om bestuuringsysteem water dicht temaken dan ze het zo ontwerpen dat je er alles mee kan doen, maar niet meer kan update of patch via internet. De gebruiker kan van als installeren op zijn bestuuringsysteem zonder dat Administator rechten heeft met bugs is windows zo lek als madje. En al die update en plijsters help een tijdje tot er weer nieuw lek wordt ontdek. Ze moet bestuuringsysteem maken dat automatisch alleenweizigingen ongedaan maken waneer je die internet Explorer afsluit.
Als ik jou was zou ik zou gaan soliciteren bij Microsoft. Klaarblijkelijk weet jij het allemaal zo goed, zo iemand kunnen ze vast gebruiken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search