Firefox gaat voorkomen dat gesandboxte iframes externe applicaties starten
Mozilla gaat in een nieuwe versie van Firefox voorkomen dat iframes die zich in een sandbox bevinden protocollen kunnen aanroepen om zo externe applicaties op de desktop of smartphone te starten. Verschillende applicaties maken gebruik van een eigen protocol of url-handler voor het starten van de applicatie via een bepaalde url. Er zijn situaties waarbij iframes dergelijke url's kunnen aanroepen en zo de betreffende applicatie op het systeem van de gebruiker kunnen starten.
Malafide adverteerders zouden hier misbruik van kunnen maken. Firefox maakt gebruik van een sandbox om te beperken wat er via een iframe kan worden gedaan, zoals het voorkomen van pop-ups, het uitvoeren van plug-ins en scripts en het handhaven van de same-origin policy. Het blijkt echter mogelijk om via een gesandboxt iframe externe protocol-handlers aan te roepen.
Mozilla heeft nu besloten om dit door het toevoegen van een patch te voorkomen. "Dit houdt in dat gesandboxte derde partijen niet langer externe applicaties op de desktop of telefoon kunnen openen", zegt Mozillas Niklas Baumgardner. De patch die hiervoor zorgt is toegevoegd aan een vroege testversie van Firefox. Wanneer die in de releaseversie verschijnt is nog onbekend.
Nu kun je een volledig legitieme website bezoeken en op de achtergrond alsnog besmet raken met malware en dat merk je niet eens, Dit kan door bijv. een simpele webhook te gebruiken. Zolang je op de site zit is je systeem volledig onder controle van derden die de hook geplaatst hebben, dit kan dan weer gebruikt worden om een RAT op het systeem te krijgen. Een goede virusscanner kan uitkomst bieden maar alleen als de malware/rat geen op maat gemaakte versleuteling gebruikt., anders merkt die ook niks.
Nu kun je een volledig legitieme website bezoeken en op de achtergrond alsnog besmet raken met malware en dat merk je niet eens, Dit kan door bijv. een simpele webhook te gebruiken. Zolang je op de site zit is je systeem volledig onder controle van derden die de hook geplaatst hebben, dit kan dan weer gebruikt worden om een RAT op het systeem te krijgen. Een goede virusscanner kan uitkomst bieden maar alleen als de malware/rat geen op maat gemaakte versleuteling gebruikt., anders merkt die ook niks.
Wat dat betreft mogen ze blij zijn met Firefox.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.