Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 77 reacties, 24.533 views •
Submitter: LauPro

De firma Spider.io heeft een kwetsbaarheid in Internet Explorer 6 tot en met 10 geopenbaard waarmee alle bewegingen en invoer van de muiscursor gevolgd mee kunnen worden. Microsoft zou zijn ge´nformeerd maar het gat is nog niet gedicht, ondanks dat de exploit wordt gebruikt.

De kwetsbaarheid maakt het onder andere mogelijk om wachtwoorden af te vangen die via virtuele toetsenborden binnen Internet Explorer worden uitgevoerd. Het maakt daarbij niet uit of de browser geminimaliseerd is of niet. De benodigde javascriptcode voor het uitlezen van het zogenaamde Event-object, waarmee informatie over de muiscursor en -invoer kan worden uitgelezen, zou volgens de ontdekkers eenvoudig aan bijvoorbeeld een advertentie in een iframe geplaatst kunnen worden.

Spider.io zegt dat zij op 1 oktober details over de kwetsbaarheid, die aanwezig is in Internet Explorer 6 tot en met 10, aan Microsoft hebben doorgegeven. Het Microsoft Security Research Center zou de bug hebben bevestigd, maar tevens hebben laten weten dat er geen concrete plannen zijn om de bug via patches op korte termijn te verhelpen. De firma heeft daarop besloten de exploitcode openbaar te maken.

Volgens Spider.io zouden zeker twee bedrijven die het surfgedrag van internetters op grote schaal in kaart brengen, de exploit al benutten. Ook wijst het bedrijf op de risico's voor sites die virtuele keyboards inzetten. Daarbij wordt geredeneerd dat de invoer op virtuele toetsenborden veiliger is omdat deze moeilijker zouden zijn uit te lezen via bijvoorbeeld keyloggers. Onder andere enkele bankensites gebruiken om deze reden een virtueel keyboard. Door deze IE-bug kan een kwaadwillende echter alsnog de invoer achterhalen.

Reacties (77)

Reactiefilter:-177068+155+29+30
Moderatie-faq Wijzig weergave
En dat is waarom ik geen IE gebruik.
hoe kan het dat dit een nieuw exploid is en dat dit de reden is waarom jij IE niet gebruik? :z
Niet daarom maar omdat het de zoveelste bug is uiteraard.
typisch iets voor MS om het niet direct of zsm het lek te dichten. 1 van de redenen waarom ik geen windows troep meer gebruikt. ze zijn te laks om updates uit te brengen. geef mij maar linux waar de lekken tenminste sneller wordt gedicht.
Van nu.nl of telegraaf gekopieerd? Slecht verhaal, weinig spannends.
Des te meer reden om niet meer IE te gebruiken.
Chrome, Firefox, Opera, en je zit meestal goed.

IE is gevaarlijker omdat MS gewoon te sloom is met patchen en teveel windows hebben standaard IE erop. Vooral MS doet niet meer met XP machines en dus zijn pc's met XP dubbel opletten!

Ook gevaarlijk zijn de minder ervaren gebruikers. Die kiezen bijna altijd voor eenvoud en pakken gewoon IE omdat het al erop staat. Waarom Firefox of Chrome als het toch goed werkt? Nog aardig wat mensen installeren Firefox of Chrome dus niet, vooral oude mensen.

Sommigen worden moe van Firefox "update gekte". Ja ik weet nog hoe snel Firefox van V16 naar V17 gaat. Dat heb je niet met IE.

Best wel vervelend nu er weer een kritische bug komt terwijl er steeds meer muis-captcha of virtueel keyboard gebruikt worden zodat keyloggers niet meer goed werken.
Als je dat denkt hou je jezelf voor de gek. Het verschil is zo klein dat het niet uit maakt welke browser je gebruikt. Ik gebruik gewoon de snelste en die op de meeste sites werkt. En dat is sinds Windows 8 IE10.
als je nog ie 6 en 7 gebruikt dan verdien je gewoon leaks en exploits , maak het webdevs het leven iets makkelijker gewoon andere browser of 9-10 ie
als je nog ie 6 en 7 gebruikt dan verdien je gewoon leaks en exploits , maak het webdevs het leven iets makkelijker gewoon andere browser of 9-10 ie
Euh; als je het artikel had gelezen had je gelezen dat IE 6 tot en met 10 kwetsbaar is:
...de kwetsbaarheid, die aanwezig is in Internet Explorer 6 tot en met 10...
dus ik zie niet hoe je post relevant is :?

[Reactie gewijzigd door RobIII op 12 december 2012 21:51]

Gelukkig gebruikt niemand die browser meer. :)
Jammer wel FP maar er nog net niet aan toegekomen de eerste zin uit te lezen??...
Nog steeds 16% van de wereldbevolking gebruikt IE, dat is 16% teveel maar je kan het niet negeren. Iets wat maar al te vaak duidelijk word bij front-end development. Zou me veel tijd besparen als ik niet alles IE compatible hoefde te maken T_T

http://www.w3schools.com/browsers/browsers_stats.asp
IEDERE windows-pc heeft IE, of je nou wil of niet. En ook al gebruik je em niet, je gebruikt em toch verkapt in een aantal tools. Er zijn genoeg tools die een IE-engine gebruiken of ergens verstopt hebben. FeedDaemon bijv, die leeft ervan.
gelukkig gebruik ik het als enige browser en heb nog nooit problemen gehad. heb daarnaast ook nog nooit een website bezocht waar ik invoer via digitale toetsen moest ingeven. denk dat het gevaar behoorlijk klein is. feit blijft wel dat een patch gewoon op zn plek behoort.
6 t/m 10 dus ook in de huidige browser van MS is de kwetsbaarheid aanwezig.

Vreemd dat MS er niets aandoet, want lijkt me toch een kwalijke kwetsbaarheid. Toch maar chrome of Firafox gebruiken dan?
Behalve elk bedrijf. Destijds nog 5 dagen gewerkt op de leuke open versie van IE halfjaartje geleden...
Het onscreen toetsenbord. gebruikt toch ook niemand?
Op mijn tablet wel.
Uit de het bericht :
Onder andere enkele bankensites gebruiken om deze reden een virtueel keyboard.
ben er nog geen tegen gekomen dus ben toch benieuwd welke sites dat zijn.
Want Nederland is de hele wereld?
Ben ik de enige die wel eens een pc zonder toetsenbord gebruikt maar wel een login scherm krijg ?

In ieder geval mooi dat het naar buiten is gebracht, zo word er in ieder geval aandacht aan besteed en komen er misschien wel "concrete plannen om dit op korte termijn op te lossen."

[Reactie gewijzigd door the-dark-force op 12 december 2012 20:56]

Windows 8?
Daar speelt de onscreen keyboard zeker een zeer belangrijke rol.
Gezien het OS voor tablets en telefoons geschikt is.
praat je dan niet over windows phone of windows RT ipv windows 8?
daarnaast vraag ik me af of een onscreen keyboard op deze manier af te lezen is. op je tablet en phone zal 99% gewoon vinger aanwijzing gebruiken en word t volgens mij dan wel heel lastig om de muisbewegingen te onderscheppen.
Het hele idee van Windows 8 is dat we met z'n allen overstappen naar touch devices in de woonkamer. Voor developers/tweakers zal dat wat langer duren, maar ik zie deze overstap wel snel gebeuren.

Ik denk dat als je een muis locatie af kan lezen, dat het ook zal werken voor touch input (volgens mij word bij iedere aanraking je "muis" gewoon verplaatst naar waar je klikt.)

Ik geloof dat Windows 8 met IE10 word geleverd, dus het is maar goed dat ze er op tijd bij zijn.
"Het Microsoft Security Research Center zou de bug hebben bevestigd, maar tevens hebben laten weten dat er geen concrete plannen zijn om de bug via patches op korte termijn te verhelpen"

Ik neem aan dat je op tijd sarcastisch bedoeld?
Nee het OSK is heel wat anders. Het zou hier dus gaan om websites die een (eigen) keypad gebruiken. Een sterk staaltje slechte journalistiek dus.

Overigens hoop ik dat die virtuele keyboards niet meer of minder gebruikt gaan worden ;veel trager, voldoet niet aan OS lay-out, blijkbaar onveilig en gewoon in het algemeen bijzonder irritant. Human input moet je aan Human Input Devices overlaten, niet aan websites!
Nee het OSK is heel wat anders. Het zou hier dus gaan om websites die een (eigen) keypad gebruiken. Een sterk staaltje slechte journalistiek dus.
Maar in het artikel staat toch duidelijk dat de bankwebsite een virtueel toetsenbord gebruikt? Wat is er "slechte journalistiek" aan jouw onvermogen te begrijpen dat dat niet om het OnScreen Keyboard van windows gaat dan? Je zou hooguit kunnen beweren dat dat ÚÚne zinnetje iets duidelijker gekund had, in plaats van nu te gaan lopen Wildersen dat er een "sterk staaltje slechte journalistiek" gepleegd is.
Dat geroeptoeter is al irritant genoeg in de tweede kamer, doe dat svp niet in het echte leven.
Dat was toch meteen duidelijk bij het lezen van het artikel? Ik vond het in elk geval volkomen duidelijk. Tenzij ze in de tussentijd het artikel veranderd hebben.
"Het zou hier dus gaan om websites die een (eigen) keypad gebruiken. "
heb je een bron hierover?
Als het echt waar is, is het wel slechte journalistiek idd.
Zie filmpje... EN het is niet eens alleen websites. Zoals David Mulder schrijft. Ook al zit je buiten je IE focus, vangt het scripts nog steeds muisbewegingen af!

Wederom zie filpje, in Skype wordt een nummer 'gedraaid', in IE ernaast wordt de muisbeweging getoond!
Helaas wel bij veel bedrijven, en dan doorgaans nog oude versies op XP computers ook.
Als XP gewoon alle updates heeft gehad lijkt XP me net zo 'veilig' als elk ander windows-os (vista, 7, 8 ), dus dat het XP is, maakt opzich niet uit. Een oude versie van IE maakt uiteraard wel uit. Verder zijn natuurlijk de browser-plugins van groot belang...

PS:
om wachtwoorden af te vangen die via virtuele toetsenborden binnen Internet Explorer worden uitgevoerd. Het maakt daarbij niet uit of de browser geminimaliseerd is of niet.
Hoe voer je iets in met een virtueel keyboard binnen IE als IE geminimaliseerd is? :P

[Reactie gewijzigd door woekele op 12 december 2012 20:23]

Als XP gewoon alle updates heeft gehad lijkt XP me net zo 'veilig' als elk ander windows-os (vista, 7, 8 ), dus dat het XP is, maakt opzich niet uit. Een oude versie van IE maakt uiteraard wel uit. Verder zijn natuurlijk de browser-plugins van groot belang...
In de tekst staat duidelijk dat het gaat over IE6 t/m IE10, van Windows XP tot en met zelfs Windows 8 , dus lijkt me niet dat het al gepatched is.
Als je het orginele artikel leest zul je merken dat het dus ook werkt buiten IE om en waarschijnlijk bedoelde ze dat je 2 schermen (ipv tabs) open hebt en die met de exploit minimaliseerd.

In ieder geval, ik moet zeggen dat de simpelheid van deze bug echt ongelovelijk is en microsoft had dit *makkelijk* binnen een paar uur kunnen fixen. True enough, redelijk wat drag & drop code zou een heel klein beetje minder fijn werken, maar dat is gewoon goed acceptabel. Het feit dat ze dat niet direct deden haalt mij betreft weer een stuk vertrouwen dat IE de goeie kant op ging weg... maja, hopelijk is het oneerlijk om ze op 1 ding te veroordelen... maar dit is echt een bizar simpele bug/design fout.

Voor wie nieuwsgierig is en het artikel niet heeft geopend:
<script type="text/javascript">
window.attachEvent("onload", function() {
var detector = document.getElementById("detector");
detector.attachEvent("onmousemove", function (e) {
detector.innerHTML = e.screenX + ", " + e.screenY;
});
setInterval(function () {
detector.fireEvent("onmousemove");
}, 100);
});
</script>
En de fout zit hem er dus in dat screenX van het globale event object word ingesteld terwijl de muis buiten het gebied van de huidige pagina is.
Kan iemand mij uitleggen waarom die ook maar iets uitmaakt? Van mij mag iedereen mijn muisbewegingen volgen, kan je niks mee lijkt mee.
Ha, het "ik heb niets te verbergen dus ze mogen alles van me weten" argument. Ik vroeg me al af waar het bleef. |:(
Pfff, wat was ik geschrokken van dit bericht!
Ik heb mijn Internet Explorer 6 meteen gedowngrade naar Internet Explorer 5. Nu ben ik tenminste veilig. Het is maar goed dat ik het nieuws volg op Tweaker.net. ;)
Ook wijst het bedrijf op de risico's voor sites die virtuele keyboards inzetten. Daarbij wordt geredeneerd dat de invoer op virtuele toetsenborden veiliger is omdat deze moeilijker zouden zijn uit te lezen via bijvoorbeeld keyloggers. Onder andere enkele bankensites gebruiken om deze reden een virtueel keyboard.
Seriously? Code die in een browser draait wordt veiliger geacht dan code daarbuiten, omdat daar wel eens een keylogger bij ge´nstalleerd kon wezen?

We gaan voor het gemak dan maar voorbij aan het feit dat, als een aanvaller erin slaagt een keylogger te installeren, die vrijwel zeker ook in staat is je browser te compromitteren op elk gewenst niveau. Om nog maar te zwijgen van de talloze veiligheidsbugs in de implementaties van JavaScript die over de jaren heen gevonden zijn. Fysieke keyloggers (hardware) tel ik dan even niet mee omdat degene die die kan installeren al veel te dicht bij een machine gekomen is die voor veilige zaken gebruikt moet worden... Laat dan maar alle hoop varen.

Ik snap wel dat "ff een keyloggertje" allicht waarschijnlijker is dan specialistische software die de browser manipuleert/bekoekeloert, maar toch, vanuit veiligheidsgrenzen geredeneerd is het toch wel bizar om te denken dat een browser veiliger kan zijn als je al aanneemt dat de machine zelf dat niet is. Zeker bankentrojans zijn vaak van specialistische makelij, zodat zo'n trojan zou weten dat de bank gebruik maakt van deze aanpak en met een "muislogger" aan zou komen.
Is wel intressant om zogenaamde heat maps te maken van je website. De meeste mensen gebruiken de cursor als geheugensteuntje waar ze op de website aan het lezen waren

Op dit item kan niet meer gereageerd worden.



HTC One (M9) Samsung Galaxy S6 Grand Theft Auto V Microsoft Windows 10 Apple iPad Air 2 FIFA 15 Motorola Nexus 6 Apple iPhone 6

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True