Schuifbalk verbergt groot veiligheidsgat in IE
Microsoft vindt veiligheidsgat vergezocht
08 september 2004 | Stijn Wuyts
Al veertien dagen geleden waarschuwden veiligheidsexperts dat de klik-en-sleep bug in Internet Explorer extreem gevaarlijk is. De onderzoeker met schuilnaam
http equiv toonde aan hoe je door het verslepen van een afbeelding op een webpagina, ongemerkt een virus of andere kwaadaardige software op de pc installeert. Omdat de bug interactie van de gebruiker vereist, oordeelde Microsoft dat het "niet extreem gevaarlijk" was. Twee weken later is het tegendeel bewezen.
In juli werd ook al een probleem gedemonstreerd met de manier waarop Internet Explorer (IE) omgaat met drag-and-drop objecten. 'What A Drag' liet zien dat, na het verslepen van een icoontje, zonder verdere tussenkomst software wordt geïnstalleerd. In de
proof of concept demonstratie van "http equiv" moest de gebruiker nog een afbeelding tussen twee rode lijntjes slepen om zijn pc te besmetten.
Intussen heeft iemand uitgedokterd hoe hetzelfde effect ook met de standaard schuifbalken van de IE bereikt kan worden. Het resultaat is onthutsend: zolang de computergebruiker geen maatregelen neemt, zijn in theorie alle webpagina's potentieel gevaarlijk.
De truc bestaat erin om een doorzichtige afbeelding vlak boven de verticale schuifbalk te plaatsen. De webpagina bevat een tekst die niet op één scherm past, zodat de gebruiker automatisch naar de schuifbalk grijpt. Op dat moment schiet een script in actie dat (om het even welke) kwaadaardige software installeert. Doordat een javascript het echte gedrag van de schuifbalk nabootst, heeft de gebruiker niets in de gaten. De truc werkt overigens niet wanneer het scrollwieltje op de muis wordt gebruikt.
Dit misbruik van de klik-en-sleep bug in IE is reeds gesignaleerd. In sommige nieuwsgroepen werden berichten gepost over de zogezegde dood van terroristenleider Osama Bin Laden. Voor foto's verwijst het bericht door naar de website www.theparadise.x-y.net.
WAARSCHUWING: wie die website bezoekt met IE en de schuifbalk aanklikt, installeert een trojaans paard dat via IRC verbinding maakt met een server in de VS!
Hoewel het maar een kwestie van tijd was voor slimme hackers de bug zouden misbruiken, vond Microsoft dat de fout "niet extreem gevaarlijk is gezien de vele handelingen van de gebruiker die nodig zijn om de aanval uit te voeren". Het fout kan voorlopig enkel opgelost worden door de beveiligingsinstellingen van Internet Explorer op "hoog" te zetten, zodat alle vormen van scripting uitgeschakeld worden. Helaas worden veel sites daardoor ook moeilijk toegankelijk. Een andere oplossing is overschakelen op een alternatieve browser zoals Firefox of Opera.
Lees meer artikels over :
internet, explorer, ie, beveiliging, bug, fout, veiligheid, security
bron: ZDNet
