Door Dimitri Reijerman, woensdag 12 december 2012 18:00, views: 24.009 •
Submitter: LauPro

De firma Spider.io heeft een kwetsbaarheid in Internet Explorer 6 tot en met 10 geopenbaard waarmee alle bewegingen en invoer van de muiscursor gevolgd mee kunnen worden. Microsoft zou zijn geïnformeerd maar het gat is nog niet gedicht, ondanks dat de exploit wordt gebruikt.

De kwetsbaarheid maakt het onder andere mogelijk om wachtwoorden af te vangen die via virtuele toetsenborden binnen Internet Explorer worden uitgevoerd. Het maakt daarbij niet uit of de browser geminimaliseerd is of niet. De benodigde javascriptcode voor het uitlezen van het zogenaamde Event-object, waarmee informatie over de muiscursor en -invoer kan worden uitgelezen, zou volgens de ontdekkers eenvoudig aan bijvoorbeeld een advertentie in een iframe geplaatst kunnen worden.

Spider.io zegt dat zij op 1 oktober details over de kwetsbaarheid, die aanwezig is in Internet Explorer 6 tot en met 10, aan Microsoft hebben doorgegeven. Het Microsoft Security Research Center zou de bug hebben bevestigd, maar tevens hebben laten weten dat er geen concrete plannen zijn om de bug via patches op korte termijn te verhelpen. De firma heeft daarop besloten de exploitcode openbaar te maken.

Volgens Spider.io zouden zeker twee bedrijven die het surfgedrag van internetters op grote schaal in kaart brengen, de exploit al benutten. Ook wijst het bedrijf op de risico's voor sites die virtuele keyboards inzetten. Daarbij wordt geredeneerd dat de invoer op virtuele toetsenborden veiliger is omdat deze moeilijker zouden zijn uit te lezen via bijvoorbeeld keyloggers. Onder andere enkele bankensites gebruiken om deze reden een virtueel keyboard. Door deze IE-bug kan een kwaadwillende echter alsnog de invoer achterhalen.

Reacties (77)

Reactiefilter:-177068+155+29+30
Platte weergaveSorteer aflopendFaq
«  1  2  »
+1 RobIII
woensdag 12 december 2012 21:50
als je nog ie 6 en 7 gebruikt dan verdien je gewoon leaks en exploits , maak het webdevs het leven iets makkelijker gewoon andere browser of 9-10 ie
Euh; als je het artikel had gelezen had je gelezen dat IE 6 tot en met 10 kwetsbaar is:
...de kwetsbaarheid, die aanwezig is in Internet Explorer 6 tot en met 10...
dus ik zie niet hoe je post relevant is :?

[Reactie gewijzigd door RobIII op woensdag 12 december 2012 21:51]

+1 CrazyFool
woensdag 12 december 2012 21:59
Is wel intressant om zogenaamde heat maps te maken van je website. De meeste mensen gebruiken de cursor als geheugensteuntje waar ze op de website aan het lezen waren
+1 MneoreJ
woensdag 12 december 2012 22:43
Ook wijst het bedrijf op de risico's voor sites die virtuele keyboards inzetten. Daarbij wordt geredeneerd dat de invoer op virtuele toetsenborden veiliger is omdat deze moeilijker zouden zijn uit te lezen via bijvoorbeeld keyloggers. Onder andere enkele bankensites gebruiken om deze reden een virtueel keyboard.
Seriously? Code die in een browser draait wordt veiliger geacht dan code daarbuiten, omdat daar wel eens een keylogger bij geïnstalleerd kon wezen?

We gaan voor het gemak dan maar voorbij aan het feit dat, als een aanvaller erin slaagt een keylogger te installeren, die vrijwel zeker ook in staat is je browser te compromitteren op elk gewenst niveau. Om nog maar te zwijgen van de talloze veiligheidsbugs in de implementaties van JavaScript die over de jaren heen gevonden zijn. Fysieke keyloggers (hardware) tel ik dan even niet mee omdat degene die die kan installeren al veel te dicht bij een machine gekomen is die voor veilige zaken gebruikt moet worden... Laat dan maar alle hoop varen.

Ik snap wel dat "ff een keyloggertje" allicht waarschijnlijker is dan specialistische software die de browser manipuleert/bekoekeloert, maar toch, vanuit veiligheidsgrenzen geredeneerd is het toch wel bizar om te denken dat een browser veiliger kan zijn als je al aanneemt dat de machine zelf dat niet is. Zeker bankentrojans zijn vaak van specialistische makelij, zodat zo'n trojan zou weten dat de bank gebruik maakt van deze aanpak en met een "muislogger" aan zou komen.
+1 Sake
donderdag 13 december 2012 00:58
Als je dat denkt hou je jezelf voor de gek. Het verschil is zo klein dat het niet uit maakt welke browser je gebruikt. Ik gebruik gewoon de snelste en die op de meeste sites werkt. En dat is sinds Windows 8 IE10.
+1 joco
donderdag 13 december 2012 09:10
Wat ik niet direct begrijp, ja ik heb de coordinaten dan van buiten het browser scherm
Maar hoe kan ik uitlezen wat onder die muis zit?
Dus hoe kun je weten dat de gebruiker op een virtual toetsenbord, nu op de 1 klikt en dan op de 7?
+2 RobIII
donderdag 13 december 2012 10:21
Kwestie van patroonanalyse; met genoeg data (en dat heb je al gauw als je deze vulnerability weet uit te buiten op een big-ass site) pik je er zo patroontjes uit zoals in het filmpje getoond worden waar bijvoorbeeld een "keypad" gebruikt wordt om een code (in 't geval van 't filmpje een telefoonnummer) in te voeren.

Zoals je in de demo kunt zien kun je zelfs de relatieve positie van de cursor t.o.v. het browservenster bepalen en kun je dus meer informatie afleiden dan enkel X en Y coördinaten. Dus bijvoorbeeld ook dat de muiscursor zich binnen / buiten 't browservenster begeeft, waar het browservenster op de desktop staat, of 't venster geminimaliseerd is etc.

[Reactie gewijzigd door RobIII op donderdag 13 december 2012 10:24]

+1 markwiering
donderdag 13 december 2012 12:31
Pfff, wat was ik geschrokken van dit bericht!
Ik heb mijn Internet Explorer 6 meteen gedowngrade naar Internet Explorer 5. Nu ben ik tenminste veilig. Het is maar goed dat ik het nieuws volg op Tweaker.net. ;)

Op dit item kan niet meer gereageerd worden.

«  1  2  »

Onderwerpen

Gerelateerde content

Alle gerelateerde content (15)

© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies

Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True

Website van het jaar 2012