image

Spoofinglek in adresbalk Chrome en Firefox gepatcht

woensdag 17 augustus 2016, 11:22 door Redactie, 1 reacties

Een beveiligingslek in de adresbalk van Google Chrome en de mobiele versie van Firefox maakte het voor aanvallers mogelijk om de adresbalk te spoofen. De problemen, die door onderzoeker Rafay Baloch werden ontdekt, spelen ook in andere browsers, maar zijn daar nog niet verholpen.

Karakters in talen zoals Arabisch of Hebreeuws worden in adresbalk van rechts naar links (rtl) weergegeven. Baloch ontdekte in Chrome een manier waardoor hij een url beginnend met een ip-adres via een rtl-karakter van rechts naar links kan laten weergeven. De adresbalk in Chrome verwijdert automatisch http. Door zijn aanval zou een url zoals 127.0.0.1/[rtl-karakter]/http://example.com als http://example.com/[rtl-karakter]/127.0.0.1 worden weergegeven.

In het geval van de mobiele Firefoxversie was het gebruik van een ip-adres in de url niet vereist. Het toevoegen van een Arabisch rtl-karakter was voldoende. Baloch zegt verschillende varianten van het probleem in andere browsers te hebben ontdekt. Aangezien de problemen daar nog niet zijn verholpen wil de onderzoeker niet zeggen om welke browsers het gaat. Voor het melden van het spoofinglek in Chrome en Firefox ontving hij 5.000 dollar.

Reacties (1)
17-08-2016, 11:29 door Anoniem
"Voor het melden van het spoofinglek in Chrome en Firefox ontving hij 5.000 dollar."

Vergeleken met de hoeveelheid aan financiële schade zoiets kan oplopen, ligt 5k nog wel aan de lage kant..
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.