Microsoft negeert 600 dagen oud IE-lek
Een 600 dagen oud beveiligingslek in Internet Explorer wacht nog altijd op een patch, ook al is het probleem geruime tijd bij Microsoft bekend. Via de kwetsbaarheid kunnen kwaadwillenden vertrouwelijke gegevens stelen. "Op het eerste gezicht lijk het op een relatief klein cross-origin-lek. Maar met een beetje onderzoek, heeft het grote gevolgen", zegt onderzoeker Chris 'Scarybeast' Evans. "Het lek is vrij eenvoudig: IE ondersteunt een window.onerror callback die actief wordt als er een Javascript pars of runtime fout zich voordoet."
Het probleem zit alleen in Internet Explorer en is nog altijd niet gepatcht. "Ik waarschuwde Microsoft in 2008. Daarom is deze disclosure geen zero-day, maar meer een 600-day", aldus Evans. Hij merkt op dat het lek een interessante geschiedenis heeft. Zo werd in 2006 al ontdekt dat het mogelijk was om via de browser gevoelige gegevens te stelen.
Exploit
In 2007 patchte Mozilla het probleem in Firefox, maar een jaar later ontdekte Evans dat het mogelijk was om de aangebrachte beveiligingsmaatregel te omzeilen. De Firefox demo van Evans bleek echter ook op Internet Explorer te werken, waarop de softwaregigant werd gewaarschuwd. Aangezien er na bijna twee jaar nog altijd geen patch is, besloot Evans tot 'full-disclosure' over te gaan.
Het lek biedt verschillende mogelijkheden om gegevens te stelen, maar die moet de onderzoeker of iemand anders nog uitwerken. Op deze pagina heeft Evans een proof-of-concept neergezet.
http://secunia.com/advisories/41944/
Criticality level -- Not critical
Typically used for very limited privilege escalation vulnerabilities and locally exploitable Denial of Service vulnerabilities.
This rating is also used for non-sensitive system information disclosure vulnerabilities (e.g. remote disclosure of installation path of applications).
Impact -- Exposure of sensitive information
Description:
Chris Evans has reported a vulnerability in Internet Explorer, which can be exploited by malicious people to disclose potentially sensitive information.
The vulnerability is caused due to an error within the handling of the "window.onerror" event, which can be exploited to disclose certain information from other web pages by e.g. including them as script and catching the error messages of the parser.
The vulnerability is confirmed in Internet Explorer 7 and 8 on a fully patched Windows XP SP3 system.
Not Critical.
Desondanks lijkt het me nu toch beslist tijd dat Microsoft dit eens op gaat pakken.
Secunia:
http://secunia.com/advisories/41944/
Criticality level -- Not critical
Typically used for very limited privilege escalation vulnerabilities and locally exploitable Denial of Service vulnerabilities.
This rating is also used for non-sensitive system information disclosure vulnerabilities (e.g. remote disclosure of installation path of applications).
Impact -- Exposure of sensitive information
Description:
Chris Evans has reported a vulnerability in Internet Explorer, which can be exploited by malicious people to disclose potentially sensitive information.
The vulnerability is caused due to an error within the handling of the "window.onerror" event, which can be exploited to disclose certain information from other web pages by e.g. including them as script and catching the error messages of the parser.
The vulnerability is confirmed in Internet Explorer 7 and 8 on a fully patched Windows XP SP3 system.
Not Critical.
Desondanks lijkt het me nu toch beslist tijd dat Microsoft dit eens op gaat pakken.
Toch een blunder in mijn ogen.
Omdat TFA staat dat chrome en firefox dit al heel lang geleden hebben gepatcht.
Omdat IE-9 een beta is.
Omdat alle andere versies van IE wel kwetsbaar zijn.
Omdat nog maar een heel klein deel van de Internet bevolking IE-9 gebruikt, en heel veel anderen IE-6 t/m IE-8.
Lijkt me nogal voor de hand liggend dus.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.