Internet Explorer showHelp() security bypass lek
Internet Explorer gebruikers zijn gewaarschuwd. Er is namelijk een variant ontdekt van het oudere showHelp() zone bypass lek in Internet Explorer, die met alle bestaande patches werkt. Websites kunnen de showHelp() functie aanroepen en lokaal geinstalleerde "CHM" bestanden openen. Deze gecomprimeerde help bestanden bevatten verwijzingen naar systeem commando's en kunnen code uitvoeren met de privileges van de ingelogde gebruiker. Normaal is het geen probleem dat IE websites toestaat om lokaal geinstalleerde "CHM" bestanden te openen, aangezien ze als betrouwbaar beschouwd worden.
Het probleem is echter dat andere bestanden via een speciale syntax als "CHM" bestand gezien kunnen worden. Dit kan misbruikt worden als een programma zoals WinAmp, XMLHTTP, ADODB stream en anderen websites toestaan om bestanden in bekende lokaties op te slaan. Hierdoor is het mogelijk om willkeurige code op een systeem te draaien, zoals het geval is met een volledige gepatchte Internet Explorer 6 en WinAmp 5.
Als oplossing wordt er aangeraden om:
- active scripting uit te zetten en alleen te gebruiken voor vertrouwde websites.
- HTML pagina's met referenties naar "showHelp() via een HTTP proxy of firewall te filteren
- Een ander produkt te gebruiken
Het lek is aanwezig in Internet Explorer 5.01, 5.5 en 6. (Secunia)
flauw, zo dramatisch is dit lek toch niet? Dan kun je dit wel bij iedere
security issue van elk produkt zeggen
niet een beetje
flauw, zo dramatisch is dit lek toch niet? Dan kun je dit
wel bij iedere
security issue van elk produkt zeggen
Als je bekend zou zijn in de security-scene zou het je
opgevallen kunnen zijn dat dit ook inderdaad het geval is.
De zin ``Een ander product'' gebruiken is een valide
mogelijkheid om om dit probleem heen te werken, daarom is de
plaatsing ervan helemaal correct en is er van een poging tot
humor absoluut geen sprake, mijns inziens.
vanwege deze kleinigheid (er moet nogal wat gebeuren wil je deze bug uit
kunnen buiten) lijkt mij rationeel gezien geen valide argument, als je
tenminste thuis bent in kantoornetwerken...
Deze posting is gelocked. Reageren is niet meer mogelijk.
Chief Information Security Officer
Met jou als Chief Information Security Officer werken we samen aan het inrichten van een digitale leer-, werk- en onderzoeksomgeving en investeren in digitalisering. De beveiliging van alle daarbij gebruikte middelen en informatie én het zorgen voor bewustzijn bij alle partijen is hierbij een belangrijke pijler. Daar kom jij in beeld.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.