Hoofdcategorieën
Device Settings

[RSS] [quick] Index » Nieuws » Pro » Internet » Websites & Communities » 'Facebook-porno was mogelijk door kwetsbaarheid in browser'

'Facebook-porno was mogelijk door kwetsbaarheid in browser'

Door Yoeri Nijs, woensdag 16 november 2011 16:10, views: 25.143

De porno-gerelateerde afbeeldingen en video's die recentelijk opdoken op Facebook, zouden het gevolg van een xss-lek in een browser zijn. Volgens Facebook werden gebruikers er toe verleid om javascriptcode in hun url-balk te plakken.

De oorzaak van de stroom aan ongewilde content zou een xss-lek in een niet nader aangeduide browser zijn geweest. Daardoor was het mogelijk om malafide javascriptcode uit te voeren, stelt Facebook. De gebruikers moesten wel zelf de code in hun url plakken, zegt een woordvoerder tegenover Mashable. Vermoedelijk gebeurde dat via een externe enquête. Facebook wil niet zeggen welke browser kwetsbaar was voor de aanvallen en gaf ook geen details over de gebruikte methode.

Bij de linkspam zouden geen persoonlijke gegevens zijn buitgemaakt. Facebook neemt naar eigen zeggen maatregelen om de aanstootgevende weergave in de toekomst te voorkomen. Zo worden Facebook-pagina's die de kwetsbaarheid willen misbruiken, automatisch afgesloten. Bovendien krijgen getroffen gebruikers voorlichting over hoe ze het maken van dezelfde fout in de toekomst kunnen voorkomen. 

Duizenden Facebook-gebruikers deden deze week hun beklag over een stroom aan gewelds- en porno-gerelateerde afbeeldingen en video's in hun nieuwsfeeds. De aanstootgevende afbeeldingen en video's waren voor vrienden zichtbaar, maar gebruikers konden de plaatjes zelf niet zien. De vermeende dader is naar verluidt al geïdentificeerd, weet ZDNet. Of hij deel uitmaakt van Anonymous of 4Chan, zoals werd gedacht, is onbekend. Een aanklacht zou inmiddels worden voorbereid.

Volgende 16:42 'Sony wil iptv gaan aanbieden'
Vorige 16:05 Verbond van auteurs komt in opstand tegen uitleenfunctie Kindle
Advertentie

Gerelateerde content

Gerelateerde jobs

Reacties

Flat modeFlat mode Sorteer aflopendSorteer aflopend Moderatie FAQModfaq
Niveaufilter: -1 Ongewenst: 62 reacties zichtbaar620 Off-topic / Irrelevant: 58 reacties zichtbaar58+1 On-topic: 34 reacties zichtbaar34+2 Informatief: 5 reacties zichtbaar5+3 Spotlight: 0 reacties zichtbaar0
«  1  2  »

Door T_Verhoeven, woensdag 16 november 2011 16:14

Score: 0
Dat is voor jou een vraag, en voor Facebook een weet.
Waar het om draait is dat het nu is opgelost. Netjes dat ze daar nu een bericht over doorgeven in plaats van het te negeren.

Door CodeCaster, woensdag 16 november 2011 16:19

Score: 1
Nou, vertel? Dit kan letterlijk door iedere browser (mits die javascript ondersteunt) zijn veroorzaakt.

Door Loller1, woensdag 16 november 2011 16:25

Score: 0
Nou, vertel? Dit kan letterlijk door iedere browser (mits die javascript ondersteunt) zijn veroorzaakt.
Iedere browser dus... :)

Door Oerdond3r, woensdag 16 november 2011 16:37

Score: 0
Zeker nog nooit van CLI browsers gehoord ;)

Door 2playgames, donderdag 17 november 2011 11:43

Score: 0
Ik denk dat er zeer weinig overlap is tussen de groepen "Facebookgebruikers" en "CLI-browsergebruikers"

Door Sietse1990, woensdag 16 november 2011 16:38

Score: 1
Lynx? Zover ik weet heeft die geen JS ondersteuning.

Vind het alleen een beetje slordig dat er geen check aan de server kant is, maar al bij al goed dat het is opgelost en het bericht netjes naar buiten is gekomen.

Denk echter dat IE niet de boosdoener is geweest. De meeste ontwikkelaars werken met andere browsers.

Door Wolfos, woensdag 16 november 2011 20:35

Score: 0
Waarschijnlijk Internet Explorer of Safari. Ik gok op de eerste, maar dan een oudere versie.

[Reactie gewijzigd door Wolfos op woensdag 16 november 2011 20:39]

Door HansvDr, woensdag 16 november 2011 16:38

Score: 1
Volgens Tuumke was het FireFox.

IE geeft tegenwoordig trouwens aardige bescherming tegen Xss lekken..

Door Xirt, woensdag 16 november 2011 16:40

Score: 1
Puur giswerk lijkt me momenteel. IE heeft overigens inderdaad vooruitgang geboekt, maar er zijn nog heel veel mensen die de oudere versie gebruiken.

Door Mr Alfabet, woensdag 16 november 2011 16:44

Score: 0
Ik werd verleid, maar met Firefox nergens last van...

Door Ras, donderdag 17 november 2011 03:26

Score: 0
Ik gebruik ook een ge-update firefox, maar heb helaas niks gemerkt van deze feature.

Door Zarc.oh, woensdag 16 november 2011 16:58

Score: 1
Om het meest simpele stukje Javascript te testen, plak je in je eigen browser:
javascript:alert("Hello World of Tweakers")
  • Firefox 8: niet mogelijk
  • Internet Explorer 9: wel mogelijk
  • Chrome 15: wel mogelijk
  • Opera 11.6: wel mogelijk
Dit zegt natuurlijk niets over welke kwetsbaarheid er daadwerkelijk gebruikt is, maar toont wat mij betreft wel aan, welke browserteam er over nadenkt :o

[Reactie gewijzigd door Zarc.oh op woensdag 16 november 2011 17:05]

Door Soldaatje, woensdag 16 november 2011 17:09

Score: 1
FF 7 onder Ubuntu doet hij niets.
Bij FF 8 onder W7 geeft hij een foutmelding,
Bij IE 9 en Chrome gaat hij zoeken ipv uitvoeren,

Bij Opera 11.52 draait hij wel, dat zou hem dus moeten zijn.

Door RanDX, woensdag 16 november 2011 17:51

Score: 1
fout, naja, iig Chrome doet het wel, maar via copy paste doet die alleen 'alert("Hello World of Tweakers")' en moet je er 'javascript:' nog voorzetten

Door ChrissieOne, woensdag 16 november 2011 18:52

Score: 1
Vandaar ook dat je ' j' +ctrlV in je browser moest doen... En ja, ik heb het zien verspreiden, eerst 50 likes, toen een vriend van me het had gekopieerd, toen checkte ik hoe het ging, met Javascript dus, gelijk ff een waarschuwing voor de rest van mijn vrienden geplaatst, maarja, iedereen doet gewoon klakkeloos wat er gezegd wordt...

Door Remmes_NT, donderdag 17 november 2011 10:55

Score: 0
lama verkeerd

[Reactie gewijzigd door Remmes_NT op donderdag 17 november 2011 11:02]

Door Sir Guinhill, donderdag 17 november 2011 20:16

Score: 0
Het werkt in IE9 prima.
Je moet alleen zelf een j typen en avascript:alert("Hello World of Tweakers") plakken

Exact als in de "aanval"

Door NTAuthority, woensdag 16 november 2011 17:50

Score: 1
De titel van dit venster geeft duidelijk aan 'NoScript'; wat niet gemaakt is door Mozilla zelf.

Door Wolfos, woensdag 16 november 2011 20:37

Score: 0
Bij mij gebeurt er in Aurora 9 dus helemaal niets als ik Javascript vanuit de adresbalk uit probeer te voeren.

Door Zarc.oh, woensdag 16 november 2011 21:00

Score: 0
Haha zelf niet eens opgevallen :P

Door sdk1985, woensdag 16 november 2011 19:00

Score: 2
correctie: Als je in IE9 "javascript:alert("Hello World of Tweakers")" copy paste (waar het om ging) dan laat IE9 "javascript:" weg en gaat hij via je default search engine zoeken op "alert("Hello World of Tweakers")". Wel over nagedacht dus ;) .

edit:
"“JavaScript:” prefix and IE9:

Much to the annoy of spammers, Internet Explorer 9 pioneered in implementing a less known but very interesting security feature. Any code with “JavaScript:” prefix pasted into the address bar will get the prefix stripped off, thereby preventing script execution. (Looks like Chrome has also implemented this recently)."
http://novogeek.com/post/...ihanna-Facebook-spam.aspx
Vandaar dat gebruikers dus eerst zelf een j moesten typen bij de "rihanna" attack :+ .

[Reactie gewijzigd door sdk1985 op woensdag 16 november 2011 19:06]

Door Zarc.oh, donderdag 17 november 2011 14:02

Score: 0
True, had zelf verkeerd getest moet ik toegeven, ik heb het uit een notepad gekopieerd en geplakt, niet uit de browser zelf :S

Door LighScan, woensdag 16 november 2011 22:32

Score: 0
Safari doet het ook..

Door Gamebuster, woensdag 16 november 2011 17:18

Score: 0
Je moest een J intikken, daarna op CTRL + V drukken en op tot slot ENTER drukken.

De benodigde javascript code stond al in je clipboard.

[Reactie gewijzigd door Gamebuster op woensdag 16 november 2011 17:20]

Door Loller1, woensdag 16 november 2011 16:26

Score: 1
En waarom? Waarom zou het niet Chrome of Firefox kunnen zijn?

Door Niemand_Anders, woensdag 16 november 2011 16:28

Score: 1
En sinds wanneer zit een XSS lek in de browser en niet bij de website? Eigenlijk kun je vanuit het standpunt van facebook alleen veilig zeggen dat Firefox en Opera zijn uitgesloten. Microsoft, Google en Apple hebben alle drie smartphones welke voor veel traffic op de social websites zoals Twitter of Facebook zorgen.

Stel dat Chrome een lek had gehad. Dan is de kans erg groot dat dan ineens een hoop Android gebruikers tijdelijk even geen gebruik meer maken van facebook. Facebook kan zich dat niet permitteren.

Maar op zich lijkt mij een poule op zich wel leuk. Facebook zal vast wel binnenkort bekend maken om welke browser het ging..

Door badboystar, woensdag 16 november 2011 16:34

Score: 1
Voor zover ik weet heeft niemand Chrome op zijn telefoon? (zie: nieuws: Google werkt aan Android-versie van Chrome )

Door latka, woensdag 16 november 2011 16:39

Score: 0
Chrome (en Safari) en de mobiele browser op je telefoon zijn allemaal WebKit varianten (uit de Linux KDE stal afkomstig) dus eigenlijk heeft iedereen Chrome ;-)

Door Dreamvoid, woensdag 16 november 2011 17:07

Score: 1
Safari en Chrome hebben niet dezelfde JavaScript engine.

Door RobertMe, woensdag 16 november 2011 16:17

Score: 1
Een XSS lek in een browser? Het gaat hier toch over crosssite scripting naar ik aanneem? En voor zover ik weet gebeurd dit toch echt puur op HTML (/site) niveau. Dat een formulier op een site slecht beveiligd is waardoor je HTML erin kunt plakke en die HTML zo in de broncode beland. Dus een <script>alert('test');</script> in een formulier invullen en dat die zo in de broncode komt waardoor die "alert('test')" gedraaid wordt (en dus die popup komt).

Daarnaast kun je JavaScript ook uitvoeren/in de URL plaatsen door op een link te klikken (<a href="javascript:alert('test')">Klik hier</a>).

Dit hele verhaal stinkt, en niet zo'n beetje. Als het XSS was is het browser onafhankelijk, en dan nog hangt het verhaal raar in elkaar (URL moeten kopiëren/plakken)

Door gnu, woensdag 16 november 2011 16:20

Score: 1
Niet helemaal, chrome laat het niet meer toe dat javasript die in de $_POST of $_GET variabelen staan direct in de source uitgevoerd wordt.
Daardoor is chrome al enigszins beveiligt tegen XSS.

Aan de andere kant, als je javascript code in je browser plakt ben je sowieso erg slecht bezig.

Door ADQ, woensdag 16 november 2011 17:04

Score: 1
Aan de andere kant, als je javascript code in je browser plakt ben je sowieso erg slecht bezig.
En daarom werkte het. De massa weet dat niet en volgt gewoon de instructies op. En dan werkt het.

Door Mavamaarten, woensdag 16 november 2011 16:18

Score: 0
De gebruikers moesten wel zelf de code in hun url plakken, zegt een woordvoerder tegenover Mashable.
Hoezo een browserkwetsbaarheid? Iedereen weet dat je nooit javascript-URL's moet plakken in je browser. Ik snap zo al niet dat iedereen zo dom is om zo'n dingen als "Click share to view this image" te doen. Je weet toch dat zoiets massa's spam creëert voor je vrienden? En dan schrikken ze als ze merken dat ze net porno hebben gedeeld :F

Door Dreamvoid, woensdag 16 november 2011 16:20

Score: 1
Dat hoeft niet met de hand, het kan ook automatisch als de javascript URL als link vermomd is.

Door NovapaX, woensdag 16 november 2011 16:23

Score: 1
manmanman.... wat ben jij naïef...

Iedereen weet toch dat niemand dat weet!
Mensen volgen graag een simpel stappenplan op, omdat er staat dat het zo moet... Zeker als die stappen van een redelijk betrouwbaar uitziende bron komen.... zoals een enquete.

Door A_in_O, woensdag 16 november 2011 21:59

Score: 0
Klinkt meer als een stoere cover up voor een beschamende ervaring, misschien zelfs nog niet eens zo ver in het verleden ;) kom beken maar, dat is goed voor je gemoedsrust ...

Door Statixnl, woensdag 16 november 2011 16:18

Score: 0
Aangezien ik de meldingen zag bij domme mutsen die nu het berichtje posten dat je voor facebook moet betalen behalve als je dit berichtje op je facebook zet verwacht ik IE, andere browers hebben zij nog nooit over gehoord.

Door T0xar, woensdag 16 november 2011 16:21

Score: 0
Lees ff RobertMe's post voor je klaagt over IE...

Door Tuumke, woensdag 16 november 2011 16:19

Score: 2
FireFox, was zelf zo stom met mijn slaperige kopf =(
Zag Miley C en dacht.. huh? Sextape? naakte vrouw <3 klikken!
Toen stond er dat ik bepaalde toets combo moest make (shift f12 ??) en ctrl+v -> enter moest drukken......
beetje dom van mezelluf :(
+- 1.5u bezig gweest om bij iedereen de meldingen weg te halen =(

[Reactie gewijzigd door Tuumke op woensdag 16 november 2011 16:21]

Door Athalon1951, woensdag 16 november 2011 16:26

Score: 0
Toch respect dat je het zelf durft toe te geven _/-\o_

Door arjankoole, woensdag 16 november 2011 16:58

Score: 0
Toch respect dat je het zelf durft toe te geven _/-\o_
True, dat soort eerlijkheid zouden meer mensen moeten hebben

Door Novermars, woensdag 16 november 2011 16:19

Score: 2
http://novogeek.com/post/...ihanna-Facebook-spam.aspx

Dit is volgens mij het zelfde idee, waarbij de user inderdaad wordt verleid om JavaScript in de url-balk te plaatsen.

Door ChrissieOne, woensdag 16 november 2011 18:59

Score: 0
Volgens mij gaat het ook om deze spam, ik heb iig geen andere gezien, en de nieuwsberichten over de facebookspam werden een dag daarna gepost :)

Door Domokun, woensdag 16 november 2011 16:25

Score: 1
Interessant, toevallig is vandaag Firefox 8.0.1 uitgebracht, een niet-geplande update dus. Ik ben benieuwd of die de schuldige is.

Door Gerjannn, woensdag 16 november 2011 16:31

Score: 1
Gelukkig was ik op mijn mobiel op het moment dat ik de link naar die Rihanna post zag. heb het wel geprobeerd, maar het lukte niet. Aangezien ik student ben in de ICT sector dacht ik mijn kennis te verrijken door te weten wat dit was, maar gelukkig was ik daartoe niet in staat..

Door RobertMe, woensdag 16 november 2011 16:35

Score: 1
Aangezien ik student ben in de ICT sector dacht ik mijn kennis te verrijken door te weten wat dit was, maar gelukkig was ik daartoe niet in staat..
Waarschijnlijk vertrouwde je het dan al niet? Dan heb je wel ballen om het toch te proberen :P Ik zou dan toch eerder gewoon kijken wat de code doet. En als het die is wat Novermans hierboven plaatst, de URL van die javascript file openen en die proberen te ontleden. Dan loop je tenminste geen risico en weet je in een keer wat het doet. Als je het "probeert" is de kans alleen maar groot dat je "erin trapt" (stuff ook op jouw profiel komt) en je nog niet weet hoe het werkt.

Door kstang80, woensdag 16 november 2011 16:44

Score: 1
De aanstootgevende afbeeldingen en video's waren voor vrienden zichtbaar, maar gebruikers konden de plaatjes zelf niet zien.

Wel vreselijk hoor, je vrienden kunnen ervan genieten en je kan zelf niet meegenieten 8)7
«  1  2  »

Op dit item kan niet meer gereageerd worden.

Volgende 16:42 'Sony wil iptv gaan aanbieden'
Vorige 16:05 Verbond van auteurs komt in opstand tegen uitleenfunctie Kindle
VNU Media logo Hosted by True

© 1998 - 2012 Tweakers.net B.V. - Alle rechten voorbehouden - Contact - Jouw privacy - Algemene Voorwaarden

Uitgever van:

Website van het jaar 2011