Hoofdcategorieën
Device Settings

[RSS] [quick] Index » Nieuws » Core » Software » Nieuwe kwetsbaarheden ontdekt in internetbrowsers

Nieuwe kwetsbaarheden ontdekt in internetbrowsers

Door Yoeri Lauwers, vrijdag 22 oktober 2004 09:08
Bron: Secunia, views: 21.424

De veiligheidswebsite Secunia meldt dat er twee nieuwe veiligheidslekken ontdekt zijn in verschillende internetbrowsers. In de browsers Konqueror, Mozilla en Firefox, Opera, Netscape, Avant, Maxthon en Safari kunnen websites in een inactieve tab namelijk dialoogvenster openen, zodat het lijkt alsof dit venster van de pagina in de actieve tab komt. In Mozilla en Firefox, Netscape Avant en Maxthon kunnen bovendien ook invulvelden van websites in een inactieve tab de focus krijgen, zodat een gebruiker niet doorheeft dat hij gevoelige gegevens invult op een onbetrouwbare website. Om deze lekken succesvol te kunnen misbruiken, moet de gebruiker in beide gevallen op een onbetrouwbare website een link aanklikken naar de bonafide website en deze in een nieuwe tab openen.

Tweakers.net in Netscape 6
Volgende 09:49 Records in 3dMark 2001, 2003 en 2005 tegelijk gebroken
Vorige 22:15 Nederlandse overheid op digitaal gebied derde in Europa
Advertentie

Categorieën

Gerelateerde content

Reacties

Flat modeFlat mode Sorteer aflopendSorteer aflopend Moderatie FAQModfaq
Niveaufilter: -1 Ongewenst: 85 reacties zichtbaar850 Off-topic / Irrelevant: 85 reacties zichtbaar85+1 On-topic: 68 reacties zichtbaar68+2 Informatief: 21 reacties zichtbaar21+3 Spotlight: 3 reacties zichtbaar3
«  1  2  3  4  »

Door ledo442, vrijdag 22 oktober 2004 09:09

Score: 1
Djees omgekeerde wereld...

MS Internet Explorer als een van de weinige die geen last hiervan heeft...

Door da Burp, vrijdag 22 oktober 2004 09:11

Score: 2
IE heeft ook geen tabbed browsing. :)

Door elinsen, vrijdag 22 oktober 2004 10:24

Score: 2
Als Avant er last van heeft dan is dat dus Internet Explorer. Avant Browser is immers een schil om Internet Explorer heen. Het gaat dus blijkbaar om het tabbed browser deel alleen.

Door samvanbrussel, vrijdag 22 oktober 2004 12:41

Score: 2
Als ik een component van jou uitbreidt, en er zit door mijn toedoen een fout in de nieuwe component, zit er dan een fout in de originele component?

Door Pietervs, vrijdag 22 oktober 2004 12:53

Score: 2
en er zit door mijn toedoen een fout in de nieuwe component, zit er dan een fout in de originele component?
Hoeft niet, kan wel: als in het origineel een fout zit, waardoor de door jouw toegevoegde component problemen veroorzaakt, dan het dus wel degelijk aan het origineel liggen...
Maar het is over het algemeen logischer om eerst de toevoegingen te bekijken of die de oorzaak zijn van de fouten.

Door jesternl, vrijdag 22 oktober 2004 15:30

Score: 1
Maar je kan naturrlijk niet het origineel verantwoordelijk houden voor iets wat alleen een probleem is door een toevoeging erop.

Door LordPan, zondag 24 oktober 2004 00:37

Score: 1
Nee idd.
de programmeurs van IE zullen deze fout niet ontdekt hebben doordat ze bij normaal gebruik van het programma daar geen beroep op doen of weten dat als je tabbed browsing zou gebruiken dat die fout ontstaat, maar geen aandacht aan schenken omdat die functie toch niet geïmplementeerd is.

Door mschol, vrijdag 22 oktober 2004 14:05

Score: 0
@Da Burp
en dat is nu dus maar goed ook...

maarja lullig dat het kan de beste remedie tegen deze onzin is eigenlijk gewoon niet internetten

Door rvdvalk, vrijdag 22 oktober 2004 09:11

Score: 0
Werkt ook niet met tabs he ;)
[edit]
'k had jou reactie nog niet gezien Da Burp!

Door YaPP, vrijdag 22 oktober 2004 10:49

Score: 3
Kijk en vergelijk:

http://secunia.com/advisories/12889/

The two vulnerabilities in combination with an inappropriate behaviour where the ActiveX Data Object (ADO) model can write arbitrary files can be exploited to compromise a user's system. This has been confirmed on a fully patched system with Internet Explorer 6.0 and Microsoft Windows XP SP2.
http://secunia.com/advisories/12706/

The vendor reports that the vulnerability has been fixed in KDE 3.3.1.

Door RIP-airco, vrijdag 22 oktober 2004 11:11

Score: 1
sorry maar een en ander komt niet voor in Microsoft software .... Waarom zou Microsoft hier dan iets moeten fixen ?

Het zijn de makers van avantbrowser, maxthon, .... die hier in actie moeten schieten

Door kroeske, vrijdag 22 oktober 2004 11:19

Score: 2
In het zelfde artikel van Secunia worden ook 2 nieuwe lekken, die compleet los staan van de boven genoemde lekker, in IE gemeld. dus MS moet wel in actie komen en het fixen.

Door Jork580, vrijdag 22 oktober 2004 14:17

Score: 0
Ik denk dat je deze "fout" eerder kunt vergelijken met phishing: elke e-mailclient waarmee je links kan openen is daar vatbaar voor. Dat Microsofts IE er als één van de enigen geen last van heeft bewijst alleen maar dat die browser hopeloos verouderd is (dus *niet* innovatief zoals MS de laatste tijd probeert te compenseren door met marketing te zeggen dat ze dat wel zouden zijn ;-) ).

nuance: Natuurlijk zijn er ook moderne browsers die geen tabbed browsing hebben omdat ze bedoelt zijn voor gebruik op PDA,'s, tragere hardware e.d. (e.g. Dillo).

Door bbr, vrijdag 22 oktober 2004 09:12

Score: 1
uhm, dus dan zou je 1 venster open hebben, maar eigelijk in een andere tab / venster zitten te typen?
zou je dat dan niet zien zodra er geen text verschijnt in het veld dat je verwacht? :?

Door Devian, vrijdag 22 oktober 2004 09:20

Score: 1
test het zelf maar met de link in het artikel.

Je typt in een veld in een andere tab... je klikt op ok.. maar de tekst die je net in dat ene veld hebt ingevuld, staat dan in de andere tab ingevuld. Dus heeft niks met goed kijken verder te maken, het lijkt alsof dat veld bij tab2 hoort erwijl bij de submit de gegeven sin tab1 komen te staan

Door Zigi_Samblak, vrijdag 22 oktober 2004 09:31

Score: 2
Toch kan ik me niet voorstellen hoe hier makkelijk misbruik van gemaakt zou kunnen worden.

Eerst moet je vanuit een onbetrouwbare website een link als nieuwe tab openen, daarvoor zouden dus instructies moeten staan op de onbetrouwbare website zoals bij het voorbeeld.

Vervolgens krijg je al voordat je naar de nieuwe tab gaat (bij mij iig. wel, firefox 1.0) de pop-up met de titel "[JavaScript Application]" waarin je dus verzocht zou kunnen worden persoonlijke info in te voeren.

Dan ben je dus wel een enorme kneus als je daarin trapt. Die zijn er natuurlijk wel, maar die zijn vast ook wel op makkelijkere manieren te misbruiken dan dit. Bovendien zullen die mensen denk ik niet vaak gebruik maken van tabbed browsing als ze uberhaupt al gebruik maken van andere browsers dan IE. Ik zie dit dus niet als ernstige lek, maar het is zeker wel een lelijk schoonheidsfoutje die snel gefixed zou mogen worden.

Door miw, vrijdag 22 oktober 2004 10:56

Score: 2
het is zeker wel een lelijk schoonheidsfoutje die snel gefixed zou mogen worden
Misschien een teleurstelling, maar deze bug 124750 (en gerelateerde bugs), is al bekend bij Mozilla sinds begin 2002. Slecht voor Mozilla/Firefox dat dit zo lang onopgelost is gebleven.
Hopelijk is de extra aandacht een stimulans om het probleem op te lossen.

Door xylone, vrijdag 22 oktober 2004 09:34

Score: 2
Ik weet niet precies hoe je dat voor elkaar krijgt, maar wanneer ik de link in het bericht aanklik en vervolgens op elke willekeurige pagina, waaronder het "reageer"-pagina, waar ik nu in tik, krijg ik gewoon geen focus en zie ik dus ook helemaal niets gebeuren. Ook een pulldown menu aanklikken is onmogelijk, dus ik denk dat het niet bij elke versie mogelijk is. (Ik gebruik FireFox 1.0 Preview)

Door Gert, vrijdag 22 oktober 2004 11:35

Score: 1
Als je text in typed dan verwacht je neem ik aan dat er letters verschijnen, en die komen nu niet waar je typed maar in een tab dat je niet kan zien.
Tenzij je tabbladen transparant kan maken en het input veld maskeren met die van de foute site lijkt mij dat dit alleen maar boze klanten oplevert omdat "het tekstveld het niet doet", verder niets.

Trouwens, deze "feature" blokeert ook input vanuit een nieuw venster. 'k Moest eerst de tab van secunia sluiten voor ik iets in deze reactie kon schrijven. :o

Door sjwjanssen, vrijdag 22 oktober 2004 09:13

Score: 0
Jawel hij wordt ook less critical aangeduidt. Echt fijn is het niet. Is er geen optie bij advanced javascript waar je de focus kan veranderen?

Door boner, vrijdag 22 oktober 2004 09:13

Score: 2
hoe zit het met slimbrowser? da's een browser die IE als core gebruikt met een tabbed interface...

Door posttoast, vrijdag 22 oktober 2004 09:18

Score: 0
Ja, maar dan is het al te laat.
edit:
Shit, het is nog vroeg. Dit was een reactie op bbr

Door daimler, vrijdag 22 oktober 2004 09:23

Score: 2
Maxthon ook, dus grote kans dat die fout voor Slimbrowser ook opgaat.

Door Thrillseeka, vrijdag 22 oktober 2004 09:33

Score: 0
myie2 heeft nergens last van gelukkig :)

Door GenuinE, vrijdag 22 oktober 2004 10:19

Score: 1
Maxthon = nieuwe versie myIE2 .. lijkt me sterk dat de er geen last van zouden hebben.

Het lijkt me dat elke schil om IE heen die met tabbed browsing werkt dit probleem kent.

Maar goed, je kunt het zelf testen! Ik deed de test overigens fout, opende de link naar citibank en klikte vervolgens terug naar de tab van de test pagina en het invullen van een dialoog lijkt dan niks bijzonders.

Dus: open de link naar citibank in een nieuwe, even wachten dan krijg je een dialoogje, invullen, Enter, dan terug naar de tab van de testpagina.

Uiteindelijk krijg ik hier zelf geen problemen me omdat ik deze dialogen zonder uitzondering ongelezen weg klik.

Door _JGC_, vrijdag 22 oktober 2004 09:24

Score: 1
Vraag me af of het nog opvallender kan: je klikt een input vakje in op de website en meteen wordt je focus gestolen :P

Verder vind ik het irritant dat iets je focus kan stelen, als ik bijvoorbeeld de webinterface van mldonkey open heb en ik ben wat met de pijltjestoetsen op mn keyboard aan't scrollen in een andere tab, verlies ik focus bij elke refresh van de mldonkey webinterface, die toch echt in een background tab open staat.

Door Countess, vrijdag 22 oktober 2004 10:47

Score: 1
kan niet echt zeggen dat me dat ooit gebeurt is met mldonkey's web interface (firefox 1.0 preview)
zal het eens fff proberen.

edit : nope, ik zie hem de tittle op het tab verversen maar verder gebeurt er niks.

Door HarmoniousVibe, vrijdag 22 oktober 2004 09:26

Score: 1
In Konqueror springt hij wel terug naar de tab waarvan het dialoogvenster vandaan komt. Je moet dus wel heel clueless zijn om dan iets in te typen.

Door CaliMonk, vrijdag 22 oktober 2004 09:29

Score: 2
Firefox, Nightly Build 21-10-2004

Fixed: 265055 - Security hole: Textarea.select() can steal focus from other tabs.

Meer info:
http://www.squarefree.com/burningedge/

Download (Zie bovenstaande link voor andere OS'n):
http://ftp.mozilla.org/pub/mozilla.org/firefox/nightly/2004-10-21-07-0 .9/firefox-1.0.en-US.win32.installer.exe

Door miw, vrijdag 22 oktober 2004 10:30

Score: 2
Bug is nog niet gefixed. Lukt ook niet in de FF1.0 release. Kijk maar eens op de mozilla discussie pagina over dit onderwerp.

Door SgtStrider, vrijdag 22 oktober 2004 11:32

Score: 2
Is dus wel degelijk gefixed, maar met een workaround. focus() en select() calls worden nu uit inactieve tabs genegeerd. De fix waar nu aan wordt gewerkt is het niet mogelijk maken van het stelen van de focus van de actieve tab.

Door dmace, vrijdag 22 oktober 2004 09:31

Score: 1
Aha, je moet de link wel openen als nieuwe tab, anders werkt het niet.
Dus je moet een totaal andere manier van werken hebben dan dat normaal is.
Lijkt me niet zo'n probleem, en nogal vergezocht.
Mensen die dat doen, hebben meer verstand dan de gemiddelde jan met de pet, en die klikken niet zomaar op OK, of vullen ergens zomaar wat in.

Zo'n beetje als "Ik neem de voetgangerstunnel", en dan zegt iemand anders "Als je over de snelweg heen gaat, is het mogelijk dat je aangereden wordt."

Door mephisto1982, vrijdag 22 oktober 2004 09:49

Score: 2
typisch een reactie van een IE gebruiker die nog nooit met tabs heb gewerkt. waarom zou het 'anders dan normaal' zijn om links in een nieuwe tab te openen? sterker nog, ik open bijna de helft van de links in een nieuwe tab tegenwoordig, vooral als ik weet dat ik de vorige site nog nodig ga hebben. persoonlijk vind ik die tabs geweldig (vandaard blijkbaar dat bijna alle browsers dat tegenwoordig hebben).

Door Rroet, vrijdag 22 oktober 2004 09:35

Score: 0
Zoals gewoonlijk loopt Tweakers weer 2 dagen achter op het nieuws !!!

Kom op jongens, eerder dit nieuws posten of helemaal niet posten.

<div class="b4" style="position: relative; color: black; border: #C6C1B4 1px solid; width: 80%; padding: 5px; font-size: 12px;"><span style="color: C00042;">Powermod-edit:</span>
Het reageren met betrekking tot het niveau van de nieuwspost binnen een reactie-draad is onwenselijk en offtopic.

Er is geen reactie-plicht; als je commentaar hebt op het niveau van een nieuwspost, kun je hierover een discussie starten binnen het Tweakers.net Frontpage Feedback-forum

Door genosis, vrijdag 22 oktober 2004 09:39

Score: 0
Kom nou; er zit niet iemand full time de nieuws posts te verversen enzo hoor::

Door beany, vrijdag 22 oktober 2004 09:41

Score: 1
Kom op Rroet, flikker dit soort nieuws dan gelijk in de nieuws submit zodra je het ergens ziet en ga niet zitten wachten tot een ander dat doet...

Door Roland684, vrijdag 22 oktober 2004 11:35

Score: 0
hij heeft wel een kern van waarheid hoor. van een nieuws-site mag je wel verwachten dat het nieuws gepost wordt als het nog nieuw(s) is.
En bezoekers zijn niet automatisch ook crew.
Net zo goed dat je van een krant mag verwachten dat ze het nieuws melden en niet hun lezers de schuld moeten gaan geven als ze nieuws missen.

Door BumEyes, vrijdag 22 oktober 2004 12:35

Score: 1
een krant is ook niet gratis he.

et staat trouwens ook ergens in een faq dat je zulke reacties niet moet posten.

Door ppl, vrijdag 22 oktober 2004 12:38

Score: 1
De online versie meestal wel. Daarnaast heb je nog de betaalversie die iedere dag in de bus valt.
Tweakers.net heeft ook diverse abbonnementen....

[ontopic]
Lek 2 die hier wordt beschreven (inactieve tab krijgt focus) is inmiddels al gefixt door Mozilla. De nightlies hebben deze fix al in hun code zitten.

Door Zoetjuh, vrijdag 22 oktober 2004 09:41

Score: 0
Leuk om te lezen dat Internet Explorer er eens een keer niet tussen staat :)

Door Wacky, vrijdag 22 oktober 2004 09:46

Score: 0
IE werkt ook niet met tabbladen ;)

Door bartvb, vrijdag 22 oktober 2004 09:48

Score: 0
Doordat IE geen tabs ondersteund :) Niet echt iets om trots op te zijn ben ik beng ;)

Overigens stond dit woensdag (!) al op slashdot en in dat artikel:
http://it.slashdot.org/article.pl?sid=04/10/20/1344208
staat ook een nieuwe vulnerability in IE:
http://secunia.com/advisories/12889/

Door lost95, vrijdag 22 oktober 2004 10:47

Score: 1
Doordat IE geen tabs ondersteund Niet echt iets om trots op te zijn ben ik beng

Veel bugs in IE worden veroozaakt door ActiveX, wat niet ondersteunt wordt door Mozilla e.d., dus alle kwetsbaarheden in IE die niet in andere browsers zitten zouden volgens jou de "fout" zijn van de andere browsers?
Overigens beschikt IE wel over alt-tab browsing ;)

Door Elephtera, vrijdag 22 oktober 2004 09:49

Score: 0
IE maakt gewoon geen gebruik van de hele handige tab funcites. t is even wennen, maar ik kan eigenlijk al niet echt meer zonder die tab functies. veel handiger dan 20 venstertjes open

Door Seleucus, vrijdag 22 oktober 2004 10:09

Score: 0
Ik zie het nut er niet van in. Ik groepeer al mijn open vensters in de taakbalk, even klikken en ik krijg een keurig lijstje met al mijn geopende IE vensters.

PS. Erg handig die open source software, alle fouten worden keurig van elkaar over genomen.

Door Asteroid9, vrijdag 22 oktober 2004 10:34

Score: 3
Sessies bewaren, tabs naast elkaar zetten om snel te vergelijken, trage sites snel in de background openen, enzovoort.

Daarmee vergeleken is browsen met IE een doffe ellende (NFI)
Ben niet anti MS, maar IE is een hopeloos verouderd gebruiksonvriendelijk geval.
«  1  2  3  4  »

Op dit item kan niet meer gereageerd worden.

Volgende 09:49 Records in 3dMark 2001, 2003 en 2005 tegelijk gebroken
Vorige 22:15 Nederlandse overheid op digitaal gebied derde in Europa
VNU Media logo Hosted by True

© 1998 - 2012 Tweakers.net B.V. - Alle rechten voorbehouden - Contact - Jouw privacy - Algemene Voorwaarden

Uitgever van:

Website van het jaar 2011