Mozilla negeert obfuscatie-lek in Firefox
Een beveiligingslek in Firefox is volgens Mozilla niet ernstig genoeg om te patchen, omdat maar weinig mensen de broncode van HTML-pagina's bekijken. Beveiligingsbedrijf Armorize ontdekte een probleem met geobfusceerde URLs die zich in een iframe bevinden. De browser zal in dit geval gebruikers niet waarschuwen als er een andere website wordt geopend dan verwacht. "Dit kan worden gebruikt voor het verspreiden van malware en het stelen van gevoelige informatie", aldus Armorize, dat ook een proof-of-concept online zette.
Volgens Mozilla's Johnathan Nightingale is er niet zoveel aan de hand. Firefox waarschuwt normaliter als de URL van een website de gebruiker probeert te misleiden, bijvoorbeeld good.com@evil.com. In dit geval laadt Firefox de pagina niet en waarschuwt de gebruiker. Deze waarschuwing verschijnt niet als een iframe op de pagina zo'n URL probeert te laden.
Risico
"Dit probleem vormt een klein risico voor gebruikers. Deze aanval gebruikt de verwarring bij gebruikers over de ware bestemming van een link, en alleen als iemand de HTML-broncode van de pagina bekijkt ziet hij de misleidende URL. De meeste gebruikers bekijken niet de broncode van de te laden pagina en lopen daardoor ook geen risico om door deze aanval getroffen te worden", laat Nightingale weten.
Hij merkt op dat Mozilla zich bewust is van de discussie, maar niet van plan is om het te patchen, aangezien het niet gebruikt zou kunnen worden om gebruikers aan te vallen. "Firefox beschikt over ingebouwde phishing en malware-bescherming die gebruikers waarschuwt als ze een gevaarlijke URL willen bezoeken, en het probleem met de geobfusceerde URLs heeft geen impact op deze bescherming."
Firefox waarschuwt gebruikers over een @-teken in URLs als dit gebruikt kan worden voor phishing, zoals bijvoorbeeld een directe link naar: http://www.google.com@www.evil.org omdat dit verwarring voor de gebruiker kan veroorzaken; het lijkt een link naar www.google.com maar hij stuurt eigenlijk de string "www.google.com" als username naar www.evil.org.
In het geval van een iframe is dit niet aan de orde; iframe src wordt niet aan de gebruiker getoond, dus er kan ook geen verwarring onstaan. (Direct naar evil.org iframen heeft hetzelfde resultaat)
Onzinnig nieuws bericht, waarschijnlijk wil de 'vinder' van het 'lek' reclame maken voor zijn beveiligingsbedrijf.
Al kijk je in de statusbalk / beweeg je over links, je ziet "www.evil.org", en niet "google.com@www.evil.org"
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.