In zowel Internet Explorer (6 en 7) als Firefox zijn een aantal ernstige kwetsbaarheden ontdekt.
Een beveiligingsonderzoeker uit Polen, Michal Zalewski, heeft een aantal beveiligingslekken ontdekt en gepubliceerd. Het gaat om zogenaamde zero-day kwetsbaarheden, waarvoor nog geen patches beschikbaar zijn. Internet Explorer heeft de twijfelachtige eer het meest ernstige lek te herbergen, maar ook Firefox opent de deur voor kwaadwillenden.
Een beveiligingsonderzoeker uit Polen, Michal Zalewski, heeft een aantal beveiligingslekken ontdekt en gepubliceerd. Het gaat om zogenaamde zero-day kwetsbaarheden, waarvoor nog geen patches beschikbaar zijn. Internet Explorer heeft de twijfelachtige eer het meest ernstige lek te herbergen, maar ook Firefox opent de deur voor kwaadwillenden.
In Internet Explorer 6 en 7 vond Zalewski het ergste lek: middels Javascript kan een aanvaller een pagina acties laten uitvoeren met dezelfde rechten als de pagina waar de bezoeker vandaan komt. In het kort komt het erop neer dat cookies op deze manier gewijzigd kunnen worden, de browser kan crashen en code kan worden geïnjecteerd. Dat laatste kan zelfs leiden tot een overname van de computer.
Het tweede lek voor Internet Explorer betreft alleen versie 6. Met deze 'spoofing bug' kan een bezoeker een pagina voorgeschoteld krijgen die van een andere site afkomstig is dan de adresbalk doet vermoeden. Dergelijke aanvallen zijn geliefd bij phishing, om bijvoorbeeld logingegevens te verkrijgen.
Een ernstig lek in Firefox maakt gebruik van zogenaamde iframes. Via deze bug kan content getoond worden op pagina's van derden. In die content kan diverse kwaadaardige code verstopt zitten, waarmee bijvoorbeeld toetsaanslagen afgevangen kunnen worden. Uiteraard is ook het tonen van valse informatie op deze manier triviaal.
Het tweede lek in Firefox is iets minder ernstig, maar kan ernstige gevolgen hebben. Door dialoogvensters te manipuleren kan een aanvaller bestanden downloaden en zelfs uitvoeren, zonder medeweten van de gebruiker. In de demo is te zien hoe via een script de lokale C-schijf uitgelezen wordt.
Wanneer je beide browsers instelt Javascript alleen op vertrouwde sites toe te staan, zou je weinig last moeten hebben van de lekken. Let op: dat is geen garantie, blijf voorzichtig...
Geen opmerkingen:
Een reactie posten