Lek ontdekt in diverse browsers

Gevaar voor phishing

23 juni 2005 | Remco Mourits Beveiligingsbedrijf Secunia waarschuwt voor een zwakke plek in een aantal populaire browsers, die door cybercriminelen kan worden gebruikt om persoonlijke gegevens te stelen.

Door de fout is het mogelijk een JavaScript-popup te laten verschijnen voor een vertrouwde, legale site. Een websurfer zou hierdoor kunnen denken dat de popup bij die site hoort, en daarom de gevraagde gegevens in de popup invoeren. Op deze manier kunnen criminelen wachtwoorden en andere gevoelige data bemachtigen.

Volgens Secunia treft het lek de laatste versies van Internet Explorer, Internet Explorer voor Mac, Safari, iCab, Mozilla, Mozilla Firefox en Camino. Ook Opera versie 7 en 8 zijn kwetsbaar, maar niet de laatste versie (8.01): deze toont het webadres waar de popup vandaan komt, zodat een gebruiker kan zien dat hij niet bij de legitieme site hoort.

Om het lek te misbruiken, moet een hacker overigens heel wat voor elkaar krijgen: hij moet een surfer van een door hem gemaakte site naar een vertrouwde site (bijvoorbeeld van een bank) leiden, en deze bovendien in een nieuw browserscherm laten openen. Alleen dan is het mogelijk de popup voor de vertrouwde site te laten verschijnen.

Ontwikkelaars van Mozilla Firefox hebben overigens eerder al stappen ondernomen om een dergelijke vorm van phishing onmogelijk te maken. In april brachten ze een patch uit waarmee gebruikers alle op Java en Flash gebaseerde popups kunnen blokkeren, tenzij ze van een trusted site komen.

Met een bijdrage van Graeme Wearden, ZDNet UK Lees meer artikels over : lek, phishing, browser

bron: ZDNet