Een beveiligingslek in Microsoft Edge maakte het mogelijk voor aanvallers om lokale bestanden te stelen. Voorwaarde was wel dat het slachtoffer een html-bestand opende, zo stelt onderzoeker Ziyahan Albeniz van securitybedrijf Netsparker.
De Same Origin Policy (SOP) is een beveiligingsmaatregel die voorkomt dat een kwaadaardige website lokale bestanden kan uitlezen. De reden is dat ze allebei een andere herkomst hebben. Om gegevens te kunnen uitlezen moeten het protocol, hostname en poort van een url hetzelfde zijn. In het geval van het file:// protocol verschilt dit van het https:// protocol, wat de reden is dat de kwaadaardige website geen toegang tot de lokale bestanden krijgt.
Wanneer er echter met twee bestands-url's wordt gewerkt die verder geen hostname of poort hebben, hebben de url's dezelfde herkomst. Hierdoor was het in Edge mogelijk voor een aanvaller om via een html-bestand toegang tot lokale bestanden te krijgen. Dit html-bestand had bijvoorbeeld via e-mail of een website kunnen worden verspreid. De kwetsbaarheid was alleen aanwezig in Microsoft Edge, andere browsers waren niet kwetsbaar. Microsoft heeft het beveiligingslek verholpen. Gebruikers krijgen dan ook het advies naar de laatste versie te updaten. In onderstaande video wordt de aanval gedemonstreerd.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Google heeft de afgelopen twee jaar van meer dan 110 miljoen mensen het wachtwoord van het Google-account gereset omdat het om ...
In 2013 blogde je over de vraag: Mag een cliënt de thuiszorg met een webcam filmen? Toen was een eenduidig antwoord met ja of ...
dag, google chrome heb ik niet geinstalleerd vanwege de afstand die ik wil bewaren tot google. ik gebruik firefox. maar chrome ...
Beste Security vrienden, Ik zit met een dilemma die mij al een aantal jaren bezig houd. Ik heb mijzelf al meerden malen ...
Wanneer is het hebben van een Remote Access Tool (RAT) nu strafbaar? Wij gebruiken dit in de organisatie voor intern beheer op ...
Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.
Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.
Geef je e-mailadres op en kies een alias van maximaal 30 karakters.
Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.