image

Microsoft zal informatielek in Edge niet patchen

donderdag 7 september 2017, 10:43 door Redactie, 7 reacties

Microsoft zal een informatielek in Edge waardoor aanvallers vertrouwelijke informatie kunnen achterhalen niet patchen. Apple en Google hebben het probleem in hun browsers wel verholpen, zo laat Cisco weten. De kwetsbaarheid bevindt zich in de manier waarop Edge de Content Security Policy handhaaft. CSP is een maatregel die cross-site scripting (xss), clickjacking en soortgelijke aanvallen moet voorkomen.

Via een kwaadaardige pagina kan een aanvaller in het geval van Edge het beleid dat via CSP op een server is ingesteld omzeilen en zo een informatielek veroorzaken. Microsoft werd vorig jaar op 29 november door Cisco ingelicht maar liet in maart van dit jaar weten dat het hier niet om een kwetsbaarheid gaat maar een ontwerpkeuze. Er zal dan ook geen patch verschijnen.

Cisco erkent dat informatielekken niet zo ernstig zijn als kwetsbaarheden waardoor een aanvaller willekeurige code kan uitvoeren. Via cross-site scripting is het echter mogelijk om vertrouwelijke informatie te stelen en zelfs gebruikersaccounts over te nemen. De netwerkgigant adviseert gebruikers dan ook om voor een browser te kiezen die CSP ondersteunt en up-to-date blijft met nieuw ontdekte beveiligingslekken, waaronder informatielekken zoals in dit geval.

Reacties (7)
07-09-2017, 11:13 door Anoniem
Exact weer Microsoft: "It's not an bug, it's just an undocumented feature."
07-09-2017, 13:13 door Anoniem
Ja maar zulke "undocumented features" komen diensten als NSA soms wel heel goed uit.

De omvang van de soms afgedwongen, soms vrijwillige samenwerking met overheidsdiensten als bij voorbeeld NSA door Redmond en andere Big Corporations als Google laat zich nog raden (ondanks dat we na wat er over naar buiten gebracht werd door lekken al wel wat meer kunnen vermoeden).

Op zo'n manier wordt het natuurlijk nooit wat met de beveiliging van de totaal "borked" digitale infrastructuur. Het lijkt op het bouwen van een zandkasteel op het strand, de een bouwt creatief en fraai tot de ander de boel weer in elkaar trapt.

Jammer, maar helaas is dat de werkelijkheid naar mijn zeer bescheiden mening, wel overigens gedragen door de ervaring van veertien jaar "third party cold reconnaissance" scannen. Om moedeloos van te worden, folks.
07-09-2017, 14:25 door karma4
Cross site access is een ontwerpfout in http html.
Tim Berners Lee heeft zich daarvoor al verontschuldigd. Nu alleen nog de echte root cause opgelost zien td krijgen dan dat gekissebis over lapmiddelen die toch telkens niet echt goed blijken te zijn.
07-09-2017, 15:27 door Anoniem
Door karma4: Cross site access is een ontwerpfout in http html.
Tim Berners Lee heeft zich daarvoor al verontschuldigd. Nu alleen nog de echte root cause opgelost zien td krijgen dan dat gekissebis over lapmiddelen die toch telkens niet echt goed blijken te zijn.

nonsence! geef referentie. het is een browser die de cross site script / request forgery doet, niet de html die door een server terug gestuurd wordt! dit is een serieus probleem geworden toen de stap gezet werd door browsers met meerdere tabs naar meerdere sites te kunnen browsen.
07-09-2017, 15:46 door softwaregeek
Een goede reden om Edge NIET te gebruiken!
08-09-2017, 09:51 door [Account Verwijderd] - Bijgewerkt: 09-09-2017, 11:13
[Verwijderd]
09-09-2017, 14:55 door Anoniem
Door karma4: Cross site access is een ontwerpfout in http html.
Tim Berners Lee heeft zich daarvoor al verontschuldigd. Nu alleen nog de echte root cause opgelost zien td krijgen dan dat gekissebis over lapmiddelen die toch telkens niet echt goed blijken te zijn.

En zelfs al zou dat zo zijn, de root cause zal niet in korte tijd opgelost worden lijkt me.Dan maar beter een lapmiddel. Het gaat over Edge, niet bepaald een verouderd product.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.