Hoofdcategorieën
Device Settings

[RSS] [quick] Index » Nieuws » Core » Software » Browsers » Onderzoeker publiceert 'ernstig' lek in IE8

Onderzoeker publiceert 'ernstig' lek in IE8

Door Dimitri Reijerman, maandag 6 september 2010 14:14, views: 22.360

Een beveiligingsonderzoeker heeft een lek in IE 8 gepubliceerd waarvan Microsoft al sinds 2008 op de hoogte zou zijn, maar dat nog steeds niet is gedicht. Door de kwetsbaarheid kunnen onder andere ongemerkt twitterberichten worden verstuurd.

Microsoft Internet Explorer logo (groot)Chris Evans stelt dat de 'ernstige' bug Internet Explorer 8 gevoelig maakt voor cross-browser cross-domain theft-aanvallen. Daarbij kunnen kwaadwillenden browsersessies overnemen. Als proof of concept heeft Evans een script gemaakt waarmee Twitter-berichten kunnen worden verstuurd als een gebruiker op de twitterdienst is ingelogd. Evans stelt dat vooral gebruikers die klikken op verkorte url's kwetsbaar zijn.

Volgens Evans zijn browsers als Firefox en Chrome al enige tijd resistent tegen de aanvalsmethode. Microsoft zou het beveiligingsgat in IE8, en vermoedelijk ook oudere IE-versies, echter nog steeds niet hebben gedicht, hoewel het vermoedelijk al sinds 2008 van het probleem op de hoogte is. Door de publicatie hoopt de beveiligingsonderzoeker dat Microsoft alsnog met een patch op de proppen komt.

Volgende 14:50 GroenLinks stelt kamervragen over vervolging weblogger
Vorige 13:47 Samsung verwacht hogere smartphoneverkoop door Galaxy S
Advertentie

Lees meer over

Gerelateerde content

Gerelateerde jobs

Reacties

Flat modeFlat mode Sorteer aflopendSorteer aflopend Moderatie FAQModfaq
Niveaufilter: -1 Ongewenst: 110 reacties zichtbaar1100 Off-topic / Irrelevant: 103 reacties zichtbaar103+1 On-topic: 59 reacties zichtbaar59+2 Informatief: 6 reacties zichtbaar6+3 Spotlight: 0 reacties zichtbaar0
«  1  2  3  »

Door Joostk, maandag 6 september 2010 14:19

Score: 1
Dat is toch wel jammer van Microsoft dat ze een bug die al 2 jaar bekend is nog niet gedicht hebben.
En helemaal als andere browers de bug al wel gedicht hebben.

Door Exorcist, maandag 6 september 2010 14:32

Score: 1
"hoewel het vermoedelijk al sinds 2008 van het probleem op de hoogte is"

Vermoedelijk is niet zeker.

Door ameesters, maandag 6 september 2010 14:41

Score: 1
In an attempt to get this bug fixed...

A nasty vulnerability exists in the latest Internet Explorer 8. I have been
unsuccessful in persuading the vendor to issue a fix.
The bug permits -- for example -- an arbitrary web site to force the victim
to make tweets.
gewoon ff het linkje volgen naar de orginele post
en dan wil ik vooral het volgende benadrukken:
unsuccessful in persuading the vendor to issue a fix.

Door HotFix, maandag 6 september 2010 14:50

Score: 1
"A nasty vulnerability exists in the latest Internet Explorer 8"

IE8 komt uit 2009 :)

Door Cronax, maandag 6 september 2010 15:45

Score: 1
Men gebruikt de term "latest" om aan te geven dat de bug bestaat in de versie van het programma inclusief de meest recente updates. Wanneer het uitkwam is dus compleet niet relevant.

Hij zegt hiermee dus dat er wel updates zijn geweest sinds hij het probleem heeft gemeldt, maar dat in geen van die updates iets aan het probleem werd gedaan. Erg kwalijke zaak dus.

Door Gepetto, dinsdag 7 september 2010 13:46

Score: 0
"Evans stelt dat vooral gebruikers die klikken op verkorte url's kwetsbaar zijn".

Ik denk dat daar een groter gevaar in schuilt dan in welke browser dan ook.
Verkorte url's maken het kwaadwillende personen met fishing wel heel erg makkelijk.

Door Niemand_Anders, maandag 6 september 2010 14:59

Score: 1
Ik kan de bug (ook) niet vinden op Microsoft Connect. Heeft ScaryBeast de mail soms naar mailto:devnull@microsoft.nl gestuurt of zo?
There's evidence to suggest that Microsoft has been aware of this since at
least 2008.
Maar die bewijzen noemt de *onderzoeker* dan weer net niet.

Overigens hadden alle vijf de browsers in eind december 2009 (volgens zijn eigen blog) een vergelijkbare bug.

Het probleem heeft gewoon te maken met de cookies welke worden meegezonden met de CSS requests. Op zijn eigen blog staan meerdere varianten van de cross-domain css theft issue.

Wat ik daarnaast mis is of scary beast de bug ook heeft kunnen reproduceren in MSIE 9 welke nu in beta is. Er is een grote kans dat Microsoft meerdere bug fixes terug port als MSIE 9 is gereleased. MSIE 9 wordt door een zeer grote groep testers getest. MSIE 8 en eerdere versies worden niet meer masaal getest waardoor de kans veel groter is dan andere onderdelen (het betreft hier namelijk een beveiligings gat in de HTTP specificatie, welke aangeeft dat cookies moet worden meegestuurd met *ELK* als het path overeenkomt) niet meer werken..

Door Cronax, maandag 6 september 2010 15:49

Score: 1
Sorry hoor, maar deze post vind ik een beetje vreemd. Je hebt gelijk dat hij best mag laten zien wat voor bewijzen hij heeft dat Microsoft al sinds 2008 van de bug weet maar de rest...

Dat meerdere browsers eind 2009 de bug hadden is niet relevant voor de huidige situatie, bijna een jaar later.

Of de bug in de beta van de nieuwe browser te reproduceren is is inderdaad interessant, als ze het nu NOG niet fixen is er iets grondig fout.

Dat je maar gewoon kan wachten tot je een nieuwe versie van je programma uitbrengt met het oplossen van dit soort belangrijke problemen is natuurlijk waanzin. Voor producten die End of Life zijn hoef je het niet op te lossen, alles wat nog onder support valt dient gewoon tegen dit soort gaten bescherld te worden.

Door Little Penguin, maandag 6 september 2010 15:50

Score: 2
Het probleem heeft gewoon te maken met de cookies welke worden meegezonden met de CSS requests. Op zijn eigen blog staan meerdere varianten van de cross-domain css theft issue.
Het probleem heeft niets te maken met cookies, het is ook helemaal geen probleem dat deze met CSS-requests meegestuurd worden (als dit niet gebeurt kun je bijvoorbeeld niet meer een op een bepaalde gebruiker toegesneden CSS-bestand terugsturen).
MSIE 8 en eerdere versies worden niet meer masaal getest waardoor de kans veel groter is dan andere onderdelen (het betreft hier namelijk een beveiligings gat in de HTTP specificatie, welke aangeeft dat cookies moet worden meegestuurd met *ELK* als het path overeenkomt) niet meer werken..
Nogmaals, het gaat hier niet om een fout in de HTTP-specificatie. Het is een fout in de CSS-parser, die zo'n beetje alles wat op CSS lijkt in een CSS-tree probeert te stoppen - zeg maar CSS-rule-soup. Onder andere Mozilla hebben die gefixt door het parsen van CSS te annuleren, zodat het niet meer op valide-CSS lijkt.


Dit veiligheidslek is gelijk weer een bewijs dat het niet parsen van CSS als het MIME-type niet klopt de beste oplossing is. Het sniffen van het documenttype is gewoon per definitie fout en is een medeoorzaak van dit lek. Juist het correct volgen van de HTTP-specificatie had dit lek voorkomen en laat het nu net MSIE zijn die het sniffen van het documenttype als 1 van de eerste toegepast heeft.

Verder is dit naar mijn mening, ook gelijk weer het bewijs dat stricte parsers beter zijn dan lenient parsers - als alle browsers (inclusies MSIE) altijd al CSS zeer strict behandeld zouden hebben, dan zou dit lek helemaal niet mogelijk zijn geweest.

Door roy-t, maandag 6 september 2010 17:27

Score: 2
Ja maar MS (en de overige browser makers) deden dit eerst toch omdat anders vele 'hobby' websites niet werken omdat het deaar zo vaak fout gedaan wordt. Je kunt niet op de ene dag van vrij interpreteren naar strict.

Niet dat ik vind dat deze bug niet gefixed moet worden :)

Door Raventhorn, maandag 6 september 2010 15:59

Score: 1
Overigens hadden alle vijf de browsers in eind december 2009 (volgens zijn eigen blog) een vergelijkbare bug.
Maar zoals ook al in het artikel staat, hebben in ieder geval Firefox en Chrome de bug wel gefixt, terwijl Microsoft deze bug waarschijnlijk al het langste 'kent' en er nog niks mee heeft gedaan.

En het terug porten van bugfixes lijkt mij meer werk dan gewoon een patch maken voor IE8, die uitbrengen en eventueel (deels) gebruiken in IE9... Zeker gezien IE9 nog grondig getest moet worden en nog niet eens helemaal 'af' is.

Door CptChaos, maandag 6 september 2010 23:22

Score: 0
Wat ik daarnaast mis is of scary beast de bug ook heeft kunnen reproduceren in MSIE 9 welke nu in beta is. Er is een grote kans dat Microsoft meerdere bug fixes terug port als MSIE 9 is gereleased. MSIE 9 wordt door een zeer grote groep testers getest.
Scary Beast heeft een testcase gepubliceerd; zou zeggen, probeer het en je weet het ook?

Door Gepetto, dinsdag 7 september 2010 13:51

Score: 0
Daarom heet het misschien ook Beta, omdat het nog niet af is. Ik ga er vanuit dat het in de definitieve versie van IE9 gewoon opgelost is.

Door Dark Angel 58, maandag 6 september 2010 15:02

Score: 1
Exorcist heeft met zijn "vermoedelijk" wel gelijk.

Maar er is misschien nog 1 reden...
het is Microsoft nog niet gelukt om die nasty bug te fixen.

Door roy-t, maandag 6 september 2010 17:28

Score: 1
Het is niet bepaald een moeilijke bug, zoals Little Pinguin hierboven mooi zegt is MS' parser voor CSS gewoon nogsteeds te vrij, deze stricter maken en laten stoppen als er iets niet pluis is, is alles wat er moet gebeuren.

Probleem: websites gemaakt door noobs die hun CSS niet goed gemarkeerd hebben werken dan niet meer goed.

Door crisp, maandag 6 september 2010 22:02

Score: 1
[...]
Probleem: websites gemaakt door noobs die hun CSS niet goed gemarkeerd hebben werken dan niet meer goed.
De voorgestelde methode (die andere browsers ook toepassen) om dit tegen te gaan is minder strict dan puur een check op mimetype; het moet ook gaan om een CSS-bestand dat wordt geladen van een ander domein, en waarvan het eerste deel al de foutcorrectie in de CSS-parser triggert.

Door deadeyes, dinsdag 7 september 2010 11:02

Score: 0
Same old story...

Door Vinnybinny, maandag 6 september 2010 14:20

Score: 0
Lekker is dat, kunnen sites gewoon reclame plaatsen op je twitter, als je de website bezoekt...

Door Bosmonster, maandag 6 september 2010 14:24

Score: 0
Gewoon geen IE8 gebruiken lijkt me een prima en directe remedie ;)

Door Foamy, maandag 6 september 2010 14:30

Score: 0
Gewoon geen IE8 gebruiken lijkt me een prima en directe remedie ;)
Uit het bericht:
Microsoft zou het beveiligingsgat in IE8, en vermoedelijk ook oudere IE-versies, echter nog steeds niet hebben gedicht, hoewel het vermoedelijk al sinds 2008 van het probleem op de hoogte is.
;)

Als je een andere versie gebruikt heb je hier dus nog steeds last van...

[Reactie gewijzigd door Foamy op maandag 6 september 2010 14:37]

Door Cartman!, maandag 6 september 2010 14:48

Score: 0
Er zijn meer browsers dan Internet Explorer ;)

Door Frietjemet, maandag 6 september 2010 15:32

Score: 0
Dat klopt, de vraag is of je persoonlijk daar graag mee wil werken.
Ik zit zelf vastgeroest op IE, heb al anders geprobeerd maar IE werkt bij mij zoals het hoort, zolang de problemen niet uit de hand lopen zie ik geen reden om bv. firefox te gebruiken. Dat leverde mij toch vaak ergernissen op, misschien omdat ik niks anders dan IE gewend ben :P

Door hollandismad, maandag 6 september 2010 16:14

Score: 0
Vendor Lock-In sequence completed!
Commencing life-long exploitation.

Nee, even serieus. Ik snap best dat mensen erg gewent zijn geraakt aan IE. Het is echter wel zo dat zonder alle overstappers naar FireFox e.a. de IE gebruikers nog steeds met die crappy IE 6.0 hadden gezeten.

Als het voor je werkt, oké. Maar geef de anderen wel een goede kans. Het kostte mij zeker een week of 3-4 voordat ik aan FireFox was gewent.

Door SuperDre, maandag 6 september 2010 16:34

Score: 1
zonder alle overstappers naar FireFox e.a. de IE gebruikers nog steeds met die crappy IE 6.0 hadden gezeten.

Dat weet je dus niet, het is allemaal speculatie..

Door Mavamaarten, maandag 6 september 2010 16:31

Score: 0
Ik vond de overstap op IE ook moeilijk, in het begin.
Totdat ik gewoon een IE8 theme installeerde, en glasser.
Het ziet er echt 99% hetzelfde uit, en het surft sneller. Nu ik al lang van IE af ben kan het mij ook niet meer echt schelen dat het er IE8 moet uitzien, ik heb al lang een mooier thema :)

Door Xellence, maandag 6 september 2010 14:38

Score: 1
Kort door de bocht natuurlijk. Wat als je bedrijf custommade software draait in een infranet omgeving op dotNET 3.5+ gebaseerd. Dan heb je geen keuze voor je browser. Kan je zeggen dan had het niet op dotNET gebaseerd mogen worden maar ook dat is weer kort door de bocht. Nee, MS had het lek allang moeten dichten. Die verantwoordelijkheid hebben ze eenmaal op zich genomen door hun framework commercieel aan te bieden.

Door PhazeD, maandag 6 september 2010 14:41

Score: 1
Binnen firefox kun je IE tab gebruiken voor maatwerksoftware die IE nodig heeft. Maarja, dan zit je weer met een addon.

Door grol4, maandag 6 september 2010 15:52

Score: 0
en dat je gewoon IE gebruikt maar dan met de UI van firefox. Geen oplossing dus

Door Little Penguin, maandag 6 september 2010 14:47

Score: 1
Wat heeft dotnet nu weer met MSIE te maken? Je kunt perfect dotnet server-side inzetten en client-side een andere browser dan IE gebruiken.

Er zijn wel andere redenen te verzinnen om bij IE te willen blijven, denk aan deployment-issues en zo - maar dotnet als reden kan ik me niet voorstellen eigenlijk...

Door riezebosch, maandag 6 september 2010 14:50

Score: 0
ClickOnce?

Door Little Penguin, maandag 6 september 2010 14:52

Score: 0
Juist met dotnet 3.5+ is er een addon voor Fx die ClickOnce kan afhandelen...

Door Blokker_1999, maandag 6 september 2010 14:49

Score: 0
iemand die vandaag nog iets nieuw ontwerpt dat enkel met IE werkt moet gewoon afgeschoten worden

Door SpaceK33z, maandag 6 september 2010 14:55

Score: 1
Sharepoint werkt maar voor een gedeelte met andere browsers dan IE. Ik stond er zelf van te kijken, ik had niet verwacht dat Microsoft zo egocentrisch was. Maarja, met Google Chrome en IE Tab werkt het wel beter :).

Door johnbetonschaar, maandag 6 september 2010 15:19

Score: 1
Ik sta er niet van te kijken hoor, Outlook Web Access is ook nog steeds een ramp op elke browser behalve IE, gewoon opzettelijk zo gemaakt dat alle handige features alleen in de full client werken en voor alle niet-IE browsers de light-client forceren.

Wat dat betreft verliest een oude vos wel zijn haren maar niet zijn streken, en binnen bedrijfsomgevingen komen ze er blijkbaar nog steeds mee weg ook.

Door RRX, maandag 6 september 2010 15:26

Score: 1
Nee hoor, niet nog steeds. OWA 2010 werkt ook volledig op de andere browsers!

Door rbs760, maandag 6 september 2010 15:53

Score: 0
Wat een onzin, OWA gebruik ik al jaren op FF, Chrome, Windows/Linux, werkt prima. Misschien niet full featured, maar de basis is prima.

Door Ishino, maandag 6 september 2010 16:51

Score: 1
Zo'n onzin vind ik het niet. Zoals John aangeeft, je krijgt de light-client voorgeschoteld. en dit werkt inderdaad prima. Tot iemand een mailtje stuurt met de vraag te voten welke pizza ze moeten bestellen bij een avondje deployen (bijvoorbeeld :P) En dan blijkt toch dat je enkel kan stemmen via IE... Hup, VM lanceren om op een mail te replyen...

en ja hoor, de foute pizza is levensbedreigend!

Door SuperDre, maandag 6 september 2010 16:36

Score: 0
Tja, hetzelfde kun je zeggen voor iemand die juist iets ontwerpt dat NIET (fatsoenlijk) werkt met IE...

Door BaRF, maandag 6 september 2010 14:54

Score: 0
Betere remedie is geen twitter gebruiken :P

Door kimborntobewild, maandag 6 september 2010 16:47

Score: 1
Een BaRF tweakert sessie overnemen kan ook, hoor... En het botje maar allerlei spam posten in de topics, op jouw naam.

Door Aham brahmasmi, maandag 6 september 2010 19:43

Score: 0
Op t.net krijg je gelukkig niet zo snel verkorte url's voorgeschoteld (itt twitter).

Door girlfreak, maandag 6 september 2010 14:22

Score: 1
IE 8 zou goed beveiligd moeten zijn terwijl ze een lek van 2 jaar oud nog niet gefixt hebben :@

Door mschol, maandag 6 september 2010 14:35

Score: 1
lezen, de "onderzoeker" weet niet eens of microsft wel bekend is met het lek...

(en ja, bewust onderzoeker tussen haakjes, als je niet eens zeker weet of een bedrijf het al weet (m.a.w.: je hebt het zelf nooit aangekaart) en je publiseert een lek, mag je niet jezelf onderzoeker noemen)

Door joppe.s, maandag 6 september 2010 15:38

Score: 2
quote van de website:
"I have been unsuccessful in persuading the vendor to issue a fix." dat impliceert dat hij het wel gebprobeerd heeft... nóg beter lezen dus.

Door Cronax, maandag 6 september 2010 15:55

Score: 2
Dat lees je verkeerd. De onderzoeker heeft het lek persoonlijk herhaaldelijk gemeld, het enige wat nog in twijfel getrokken wordt is of Microsoft al 2 jaar op de hoogte is, of pas later. Als disclaimer om het lek openbaar te maken beroept hij zich immers op het volgende:

"I have been
unsuccessful in persuading the vendor to issue a fix."

Letterlijk:
"Ik ben er niet in geslaagd de fabrikant over te halen het probleem te verhelpen."

Dit soort mensen meldt geregeld bugs en lekken bij fabrikanten van software, ze zijn echt wel zo slim om zich te realiseren dat drie regeltjes ergens op een website niet hetzelfde is als een lek daadwerkelijk melden.

Door SinergyX, maandag 6 september 2010 14:28

Score: 1
Dus eigelijk enkel voor de 'ingelogde twitter IE8 gebruikers' is dit 'gevaarlijk', maar als ik zo de bron bekijk, is het ook twitter die dus een submit-form accepteerd van een externe site?

Door analog_, maandag 6 september 2010 14:38

Score: 1
Een externe site is voor twitter hetzelfde als een externe gebruiker, HTTP POST blijft HTTP POST. Zolang het structureel en syntactisch overeen komt.

Door _Thanatos_, maandag 6 september 2010 14:42

Score: 1
Het is niet de site die de POST uitvoert, maar de browser, en dus de gebruiker. Behalve de referer (waarop je overigens nooit iets mag laten falen) is er dus geen verschil met een POST vanaf twitter zelf.

Door Little Penguin, maandag 6 september 2010 14:55

Score: 1
Dit proof of concept is gericht op twitter, maar dat wil niet zeggen dat het niet mogelijk is om dit op andere sites (denk aan t.net) toe te passen.

Twitter zou de boel dicht kunnen spijkeren, maar misschien zijn er nog wel andere manieren om berichten te plaatsen - denk aan XMLHttpRequest...

Door johnbetonschaar, maandag 6 september 2010 15:26

Score: 1
In zijn PDF bij het gelinkte artikel geeft hij inderdaad zelfs letterlijke (code) voorbeelden hoe deze bug kan worden gebruikt met Yahoo! Mail, Hotmail en IMDB. Vooral die eerste 2 lijken me toch een teken van een vrij serieus probleem, op het moment dat je valide mailtjes kunt rondsturen via een browser hack ligt de weg naar allerlei vormen van social engineering en aanverwante malware natuurlijk wagenwijd open.

Door _Thanatos_, maandag 6 september 2010 18:40

Score: 0
Gelukkig hebben veel sites inmiddels een captcha... Helaas is dat bijna altijd een extremely-obtrusive-captcha (een moeilijk leesbaar word in plaatje - de audioversies zijn vaak helemaal onverstaanbaar), terwijl er genoeg minder obtrusieve manieren zijn.

[Reactie gewijzigd door _Thanatos_ op maandag 6 september 2010 18:40]

Door Gerardus, maandag 6 september 2010 14:28

Score: 0
typisch weer microsoft. >.>

al moet ik zeggen dat 2 jaar naar het is gevonden en dan pas publiceren wel lang is. >.>

Heb er trouwens ook nog nooit over gehoord, dus bekend was het zeer zeker niet in de normale wereld.

Door D4NG3R, maandag 6 september 2010 14:29

Score: 1
Dit blijf ik dus jammer vinden aan IE ten opzichte van FF. Bij FF kun je gewoon op het forum posten, en word er direct gereageerd door het development team.

Bij MS houden ze het liever (zo lang mogenlijk) geheim, en "hopen" ze dat er niet naar word gekeken.

[Reactie gewijzigd door D4NG3R op maandag 6 september 2010 15:11]

Door mschol, maandag 6 september 2010 14:36

Score: 0
lezen is schijnbaar heel lastig...
de persoon weet niet eens of MS het al weet, (hij heeft het dus ook niet gemeld, anders wist je dit wel)

Door thedicemaster, maandag 6 september 2010 14:44

Score: 1
geen goed argument.
het kan namelijk best zijn dat hij als sinds 2008 regelmatig aan de telefoon hangt met een medewerker bij microsoft.
het is niet ongewoon dat binnenkomende informatie bij de 1ste telefoon medewerker blijft hangen, en dan kan je dus in een geval zoals dit zelfs als je iets zelf meldt niet zeker weten dat het ook echt bekendt is bij het bedrijf.

Door Hensz, maandag 6 september 2010 14:48

Score: 1
Nog beter lezen: "I have been unsuccessful in persuading the vendor to issue a fix."
Het is dus gemeld en Microsoft weet het dus wel degelijk. Schrijver weet alleen niet hoe lang Microsoft het al weet, daarover kan hij alleen maar gissen.

Door johnbetonschaar, maandag 6 september 2010 15:29

Score: 1
In het artikel dat hij over dit probleem heeft geschreven worden bij de acknowledgements zelfs 2 Microsoft werknemers bij naam genoemd, dus het lijkt me inderdaad wel heel erg naief om te veronderstellen dat Microsoft hier niks vanaf wist.

Door falconhunter, maandag 6 september 2010 15:53

Score: 0
lezen is schijnbaar heel lastig...
de persoon weet niet eens of MS het al weet, (hij heeft het dus ook niet gemeld, anders wist je dit wel)
Hij schijnt er zelfs niet er zeker van te wie hij het heeft verteld. 'Vendor'? Je zou denken dat ie weet dat IE8 van MS is en dat het niet verkocht word. Allemaal weer erg vaag en sensatie belust.

Door Exorcist, maandag 6 september 2010 14:37

Score: 1
"
Bij MS houden ze het liever (zo lang mogenlijk) geheim, en "hopen" ze dat er niet naar word gekeken."


Heb je hier bronnen voor? Werk je er? Waar baseer je die uitspraak op?

Door D4NG3R, maandag 6 september 2010 15:13

Score: 0
Telkens als er een (groot/belangrijk) lek word gevonden blijkt dat MS het al 2/3 jaar wist.

[Reactie gewijzigd door D4NG3R op maandag 6 september 2010 16:05]

Door kimborntobewild, maandag 6 september 2010 16:51

Score: 1
Is dat sarcasme of een feitelijke constatering?
;)

Door D4NG3R, maandag 6 september 2010 18:57

Score: 0
50/50. Het valt me op dat elke zoveel weken er op de frontpage wel weer een of ander lek gevonden is, wat MS al enkele maanden tot jaren verborgen hield.

Door Skire, maandag 6 september 2010 14:44

Score: 0
En daar zit ook het verschil naar mijn inziens. Ik denk dat je het ontwikkelteam van Internet Explorer kunt vergelijken met luie ambtenaars die het liefst zo min mogelijk doen, omdat ze toch wel betaald krijgen. Het ontwikkelteam van Firefox zie ik meer als een groep gepassioneerde en enthousiaste hobbyisten.

Door joppe.s, maandag 6 september 2010 15:41

Score: 0
Dit is overigens net zo speculatief als al het giswerk hierboven. Tjee, de anti-microsoft sympathieen (antipathieen) hebben weer lekker de overhand.

Door Skire, maandag 6 september 2010 16:26

Score: 0
Tuurlijk overdrijf ik hier en is het puur speculatief, maar dit is wel het beeld dat ze bij mij, en zo te lezen velen anderen, achterlaten.

Door keppie3, maandag 6 september 2010 14:31

Score: 0
Hoe werkt dat script dan?

Door elmuerte, maandag 6 september 2010 14:47

Score: 2
Via CSS wordt een pagina geladen die een submit form heeft (note: een normale HTML pagina en niet een css file). Dit submit form heeft zoals gebruikelijk een security token om er voor te zorgen dat er het form niet vanuit een andere pagina misbruik kant worden. Om deze token uit de html pagina die via CSS geladen is te kunnen halen is er gebruikt gemaakt van een fout in de CSS parser van MSIE. Op de gedownloadde website staat namelijk : {}body{font-family:"
Nu is alles vanaf die locatie als string in de 'font-family' property van de body tag en is het dus mogelijk om alle informatie uit de HTML vanaf die locatie te grijken, dus ook de security token. Vervolgens word er gewoon een cross-site form request uitgevoerd. twitter voert op het laatste geen controle (er is ook geen betrouwbare manier om die controle uit te voeren).

Door hAl, maandag 6 september 2010 15:27

Score: 0
Dan moet je dus wel iemand op een arbitraire site met die CSS hack laten klikken terwijl je tegelijkertijd op een andere site bent ingelogd.

Door kimborntobewild, maandag 6 september 2010 16:55

Score: 0
Nou da's niet bepaald moeilijk... Gewoon 100 sites maken en die op gratis hostingsites plaatsen. Vervolgens de boel volplempen met schaarsgeklede meiden en bijbehorende termen. Succes gegarandeerd... ;)

Door hAl, dinsdag 7 september 2010 07:57

Score: 0
IE8 heeft heel effectieve Smartscreen filtering.
Dergelijke sites staan net zo snel in dat filter als dat ze te vinden zijn in een zoekmachine en dan heb je een hoop effort verspild voor niks.

Door trippeh, maandag 6 september 2010 14:33

Score: 1
Grappig, soms wordt er in een artikel gesproken over een Hacker en soms over een Onderzoeker, laatste klinkt veel netter maar ze zijn eigenlijk hetzelfde...

Door kimborntobewild, maandag 6 september 2010 16:57

Score: 1
Dat komt omdat de term 'hacker' vernield is door aanklagers die 't verschil tussen hacken en cracken niet kenden. Vervolgens werd met hacken steeds vaker cracken bedoeld, waardoor cracken eigenlijk een overbodig woord is geworden (behalve voor de 'insiders').

Door mmjjb, maandag 6 september 2010 14:34

Score: 1
Het voorbeeld van posten op twitter reclame gaat niet op aangezien er een auth token nodig is, en die moet dan ook nog maar eens worden bemachtigd.
Verder neem ik aan dat twitter alleen maar formulierwaardes accepteerd die vanaf een pagina van éen van de twitter domeinen is verzonden.

Verder mooi dat deze knakker het aan het licht brengt, nu weet microsoft het ook als ze het nog niet wisten.
En zal er binnenkort wel een fix uitkomen.


offtopic:
@bosmoster
:P

@D4NG3R NL
Jaja, dat helpen van het development team van firefox ken ik...
Toen ik nog firefox gebruikte had ik een probleem, hadden ze geen oplossing en namen ze verder ook geen moeite om het probleem te onderzoeken.
Slechte service, dan heb ik liever 'service' van microsoft.

[Reactie gewijzigd door mmjjb op maandag 6 september 2010 14:44]

Door crisp, maandag 6 september 2010 15:55

Score: 1
Het voorbeeld van posten op twitter reclame gaat niet op aangezien er een auth token nodig is, en die moet dan ook nog maar eens worden bemachtigd.
Dat is dus precies wat deze exploit doet.
Verder neem ik aan dat twitter alleen maar formulierwaardes accepteerd die vanaf een pagina van éen van de twitter domeinen is verzonden.
Daarvoor is de token-authenticatie bedoelt, maar als deze tokens via een omweg bemachtigd kunnen worden dan zijn er weinig andere methoden voor een website om dit te controleren...

Door Raventhorn, maandag 6 september 2010 16:18

Score: 0
Zoals hierboven ook al tig keer is gezegd; Microsoft wist donders goed dat deze bug er was, ze hadden er alleen lak aan. En op die fix kan je ook nog wel een paar maanden wachten, Microsoft kennende...

OT:
"Toen ik nog firefox gebruikte had ik een probleem, hadden ze geen oplossing en namen ze verder ook geen moeite om het probleem te onderzoeken."

Dan ben je een ongelukkig geval geweest, over het algemeen hebben ze een zeer snelle en efficiënte respons, en worden problemen ook daadwerkelijk aangepakt. Ik zou een klacht indienen! :P

"Slechte service, dan heb ik liever 'service' van microsoft."
Welke service bedoel je? Die van "Sorry ik hoor de telefoon niet" of "Wat is het meest makkelijke antwoord zodat ik zo snel mogelijk van deze mongool af ben"?
Moet je voor de lol eens een vraag stellen op het MS forum als je W7 Media Center crasht als je m wilt starten :)

Door miNusz, maandag 6 september 2010 14:35

Score: 1
Dit bericht is geloof ik 2 á 3 weken geleden ook al eens langs gekomen, of dat was een ander lek wat was ontdekt.. Maar ik hoor het de laatste tijd meer, dat er lekken zijn binnen IE, die al voor een lange tijd (denk aan 2 jaar, of langer) aangegeven zijn bij Microsoft, en gewoon nog steeds niks aan gedaan is... Jammerlijk, gelukkig gebruik ik zelf Firefox!
«  1  2  3  »

Op dit item kan niet meer gereageerd worden.

Volgende 14:50 GroenLinks stelt kamervragen over vervolging weblogger
Vorige 13:47 Samsung verwacht hogere smartphoneverkoop door Galaxy S
VNU Media logo Hosted by True

© 1998 - 2012 Tweakers.net B.V. - Alle rechten voorbehouden - Contact - Jouw privacy - Algemene Voorwaarden

Uitgever van:

Website van het jaar 2011