Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 77 reacties, 24.421 views •
Submitter: LauPro

De firma Spider.io heeft een kwetsbaarheid in Internet Explorer 6 tot en met 10 geopenbaard waarmee alle bewegingen en invoer van de muiscursor gevolgd mee kunnen worden. Microsoft zou zijn geÔnformeerd maar het gat is nog niet gedicht, ondanks dat de exploit wordt gebruikt.

De kwetsbaarheid maakt het onder andere mogelijk om wachtwoorden af te vangen die via virtuele toetsenborden binnen Internet Explorer worden uitgevoerd. Het maakt daarbij niet uit of de browser geminimaliseerd is of niet. De benodigde javascriptcode voor het uitlezen van het zogenaamde Event-object, waarmee informatie over de muiscursor en -invoer kan worden uitgelezen, zou volgens de ontdekkers eenvoudig aan bijvoorbeeld een advertentie in een iframe geplaatst kunnen worden.

Spider.io zegt dat zij op 1 oktober details over de kwetsbaarheid, die aanwezig is in Internet Explorer 6 tot en met 10, aan Microsoft hebben doorgegeven. Het Microsoft Security Research Center zou de bug hebben bevestigd, maar tevens hebben laten weten dat er geen concrete plannen zijn om de bug via patches op korte termijn te verhelpen. De firma heeft daarop besloten de exploitcode openbaar te maken.

Volgens Spider.io zouden zeker twee bedrijven die het surfgedrag van internetters op grote schaal in kaart brengen, de exploit al benutten. Ook wijst het bedrijf op de risico's voor sites die virtuele keyboards inzetten. Daarbij wordt geredeneerd dat de invoer op virtuele toetsenborden veiliger is omdat deze moeilijker zouden zijn uit te lezen via bijvoorbeeld keyloggers. Onder andere enkele bankensites gebruiken om deze reden een virtueel keyboard. Door deze IE-bug kan een kwaadwillende echter alsnog de invoer achterhalen.

Reacties (77)

Helaas wel bij veel bedrijven, en dan doorgaans nog oude versies op XP computers ook.
Behalve elk bedrijf. Destijds nog 5 dagen gewerkt op de leuke open versie van IE halfjaartje geleden...
Het onscreen toetsenbord. gebruikt toch ook niemand?
6 t/m 10 dus ook in de huidige browser van MS is de kwetsbaarheid aanwezig.

Vreemd dat MS er niets aandoet, want lijkt me toch een kwalijke kwetsbaarheid. Toch maar chrome of Firafox gebruiken dan?
Uit de het bericht :
Onder andere enkele bankensites gebruiken om deze reden een virtueel keyboard.
Valt hier ook IE10 voor WP8 en W8 RT onder? Dan lijkt het me best vervelend, want je kan dan vaak alleen maar met een virtuele toetsenbord typen.
gelukkig gebruik ik het als enige browser en heb nog nooit problemen gehad. heb daarnaast ook nog nooit een website bezocht waar ik invoer via digitale toetsen moest ingeven. denk dat het gevaar behoorlijk klein is. feit blijft wel dat een patch gewoon op zn plek behoort.
Gaan we tegenwoordig alleen lekken posten van browsers op tweakers.net als hij van Microsoft is ? De afgelopen tijd zijn er genoeg lekken te vinden van Chrome en Firefox, maar die vind je hier nooit terug.... Het creŽert namelijk een beeld dat alleen internet explorer bugs bevatten (voor de leken hoop ik alleen)

Daarnaast nemen websites zoals Nu.nl en telegraaf het klakkeloos over en verergerd het beeld nog meer |:(

[Reactie gewijzigd door vali op 12 december 2012 21:07]

Je kunt volgen wat de muis doet, maar kan je ook volgen waarop wordt geklikt?

Vind het trouwens wel een kwalijke zaak dat dat bedrijf zomaar een kant en klare exploit online zet (wat veel bedrijven doen), dat je zegt dat het mogelijk is, maar ook de code geven?

[Reactie gewijzigd door Loller1 op 12 december 2012 18:16]

AFAIK heb je dan geen (muis)cursor maar krijg je enkel "keypress" events binnen (mits je gebruik maakt van 't native OS ingebakken keyboard). Gebruik je een "HTML/Javascript"-achtig keyboard dan heb je, again: AFAIK, ook geen mouse-move events maar krijg je enkel "mouse clicks" / "touch" events binnen met een bepaald target / X,Y coord. Maar ik kan me in beide gevallen vergissen[/].

[Reactie gewijzigd door RobIII op 12 december 2012 18:16]

Windows 8?
Daar speelt de onscreen keyboard zeker een zeer belangrijke rol.
Gezien het OS voor tablets en telefoons geschikt is.
ben er nog geen tegen gekomen dus ben toch benieuwd welke sites dat zijn.
Zijn dat ook, serieuze, lekken waarvan google heeft aangegeven ze gewoon open te laten? Dat, vind ik, is het kwalijke hier. Als MS op korte termijn met een oplossing zou komen zou dit lek niet zoveel nieuwswaarde hebben, maar ze weigeren kennelijk om er iets aan te doen.
Microsoft lijkt alleen kritieke fouten/lekken direct te willen fixen. Zoals het nu lijkt moet je dus geen virtueel toetsenbord gebruiken in IE en je bent veilig.

Alleen de tabletjes met RT (zijn er nog niet zo heel veel)? Moet je daar dan gewoon maar je USB toetsenbord van je gewone computer aanhangen dan? Of zijn er gewoon minder virussen mogelijk omdat Microsoft non-appstore software (dus ook malware?) van derden niet toestaat?

Voor een groot bedrijf als Microsoft dat niet bijzonder veel omzet haalt uit zijn gratis software (in tegenstelling tot Windows/Office/Visual Studio/Service Contracten/enz) is er gewoon niet veel capaciteit beschikbaar om dit te fixen. Alhoewel ze nu waarschijnlijk wel in beweging zullen komen.

Misschien een idee om hetzelfde als Google, Apple (WebKit) en FireFox te doen? Gewoon open source, wat goede programmeurs ter ondersteuning en de community met fixes laten komen. Lijkt me dat Microsoft niet meer bang hoeft te zijn dat ze met de release van de IE(6-10) code veel kennis weggeven gezien de software van de concurrentie.
praat je dan niet over windows phone of windows RT ipv windows 8?
daarnaast vraag ik me af of een onscreen keyboard op deze manier af te lezen is. op je tablet en phone zal 99% gewoon vinger aanwijzing gebruiken en word t volgens mij dan wel heel lastig om de muisbewegingen te onderscheppen.
Nee het OSK is heel wat anders. Het zou hier dus gaan om websites die een (eigen) keypad gebruiken. Een sterk staaltje slechte journalistiek dus.

Overigens hoop ik dat die virtuele keyboards niet meer of minder gebruikt gaan worden ;veel trager, voldoet niet aan OS lay-out, blijkbaar onveilig en gewoon in het algemeen bijzonder irritant. Human input moet je aan Human Input Devices overlaten, niet aan websites!
hoe serieus is dit lek? er is niet bekent op welke manier toegang tot de pc verkegen dient te worden voor ze het kunnen uitlezen, en alleen via het gebruik van een digitaal keyboard ( als ik het dus zo lees gaat het niet over een onscreen keyboard maar geprogrameerd keybaord in een website) kunnen ze eventueel iets. als ik even uitga van mezelf als gemiddeld internet gebruiker kan ik me geen enkele site herinneren waar ik via digitale invoer heb gewerkt. dus zo serieus is nog maar de vraag.
"Het zou hier dus gaan om websites die een (eigen) keypad gebruiken. "
heb je een bron hierover?
Als het echt waar is, is het wel slechte journalistiek idd.

Op dit item kan niet meer gereageerd worden.



Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBWebsites en communities

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True