Hackfilter Internet Explorer 8 kan sites hacken
XSS-module maakt websites juist onveilig
20 april 2010 | Pieterjan Van Leemputten
Internet Explorer 8 kampt met een ironisch probleem. De filter die moet beschermen tegen cross-site scripting (XSS) kan juist worden misbruikt om dit soort aanvallen uit te voeren op veilige sites.
De XSS-filter werd afgelopen zomer aan IE8 toegevoegd. Hij moet aanvallen voorkomen die cookies kunnen stelen, toetsenaanslagen kunnen registreren en websites uiterlijk kunnen aanpassen. Maar bij een presentatie op hackersbeurs Black Hat Europe werd aangetoond dat de filter voor beveiligingsproblemen zorgt.
Gevaarlijke string
Het probleem zit bij de scanmethode van Microsoft. Als er een gevaarlijke string wordt ontdekt, dan gaat de browser gedrag genereren dat overeenkomt met deze string. Daarna wordt er gekeken naar het antwoord van de server. Als die twee overeenkomen, gaat Internet Explorer 8 ervan uit dat het om een XSS-aanval gaat. Het antwoord van de server wordt daarna aangepast om de aanval te voorkomen.
Nu zijn onderzoekers erin geslaagd om dat aangepaste antwoord te misbruiken voor eenvoudige XSS-aanvallen.
"Al grotendeels verholpen"
Volgens securitymedewerker Jerry Bryant van Microsoft is het probleem eerder dit jaar al grotendeels aangepast met patch MS10-002. Ook in de securitypatch MS10-018 werd er gesleuteld aan het probleem, al zijn er voorlopig nog altijd misbruiken mogelijk.
Als alternatief kun je de XSS-filter voorlopig uitschakelen.
bron: ZDNet
» Review Ubuntu 12.04 (Precise Pagolin)
reviews
Ubuntu kennen we als solide en bruikbaar linuxbesturingssysteem. Versie 12.04 heeft een nieuwe kernel en gebruikersinterface Unity is hier en daar bruikbaarder geworden.
» De technologie van het 9/11-monument
news
Meer dan twee miljoen mensen hebben de herdenkingsplek voor de ramp van 11 september bezocht. Velen gebruiken technologie om alles uit de ervaring te halen.
» Wel borstvoeding, geen tepels op Facebook
news
Een ontevreden Facebookwerknemer besliste onlangs de richtlijnen voor het verwijderen van content te lekken aan nieuwssite Gawker. Dat deed het nodige stof opwaaien.
Review: Diablo III
Game
Twintig jaar geleden redde een groepje naamloze helden de wereld. Nu is het aan een nieuwe generatie om de demonen terug richting de hel te sturen.
