Kwetsbaarheid in Internet Explorer maakt volgen muiscursor mogelijk
De firma Spider.io heeft een kwetsbaarheid in Internet Explorer 6 tot en met 10 geopenbaard waarmee alle bewegingen en invoer van de muiscursor gevolgd mee kunnen worden. Microsoft zou zijn geïnformeerd maar het gat is nog niet gedicht, ondanks dat de exploit wordt gebruikt.
De kwetsbaarheid maakt het onder andere mogelijk om wachtwoorden af te vangen die via virtuele toetsenborden binnen Internet Explorer worden uitgevoerd. Het maakt daarbij niet uit of de browser geminimaliseerd is of niet. De benodigde javascriptcode voor het uitlezen van het zogenaamde Event-object, waarmee informatie over de muiscursor en -invoer kan worden uitgelezen, zou volgens de ontdekkers eenvoudig aan bijvoorbeeld een advertentie in een iframe geplaatst kunnen worden.
Spider.io zegt dat zij op 1 oktober details over de kwetsbaarheid, die aanwezig is in Internet Explorer 6 tot en met 10, aan Microsoft hebben doorgegeven. Het Microsoft Security Research Center zou de bug hebben bevestigd, maar tevens hebben laten weten dat er geen concrete plannen zijn om de bug via patches op korte termijn te verhelpen. De firma heeft daarop besloten de exploitcode openbaar te maken.
Volgens Spider.io zouden zeker twee bedrijven die het surfgedrag van internetters op grote schaal in kaart brengen, de exploit al benutten. Ook wijst het bedrijf op de risico's voor sites die virtuele keyboards inzetten. Daarbij wordt geredeneerd dat de invoer op virtuele toetsenborden veiliger is omdat deze moeilijker zouden zijn uit te lezen via bijvoorbeeld keyloggers. Onder andere enkele bankensites gebruiken om deze reden een virtueel keyboard. Door deze IE-bug kan een kwaadwillende echter alsnog de invoer achterhalen.
Reacties (77)
Helaas wel bij veel bedrijven, en dan doorgaans nog oude versies op XP computers ook.
Als XP gewoon alle updates heeft gehad lijkt XP me net zo 'veilig' als elk ander windows-os (vista, 7, 8 ), dus dat het XP is, maakt opzich niet uit. Een oude versie van IE maakt uiteraard wel uit. Verder zijn natuurlijk de browser-plugins van groot belang...
PS:
PS:
Hoe voer je iets in met een virtueel keyboard binnen IE als IE geminimaliseerd is?om wachtwoorden af te vangen die via virtuele toetsenborden binnen Internet Explorer worden uitgevoerd. Het maakt daarbij niet uit of de browser geminimaliseerd is of niet.
[Reactie gewijzigd door woekele op woensdag 12 december 2012 20:23]
In de tekst staat duidelijk dat het gaat over IE6 t/m IE10, van Windows XP tot en met zelfs Windows 8 , dus lijkt me niet dat het al gepatched is.Als XP gewoon alle updates heeft gehad lijkt XP me net zo 'veilig' als elk ander windows-os (vista, 7, 8 ), dus dat het XP is, maakt opzich niet uit. Een oude versie van IE maakt uiteraard wel uit. Verder zijn natuurlijk de browser-plugins van groot belang...
Als je het orginele artikel leest zul je merken dat het dus ook werkt buiten IE om en waarschijnlijk bedoelde ze dat je 2 schermen (ipv tabs) open hebt en die met de exploit minimaliseerd.
In ieder geval, ik moet zeggen dat de simpelheid van deze bug echt ongelovelijk is en microsoft had dit *makkelijk* binnen een paar uur kunnen fixen. True enough, redelijk wat drag & drop code zou een heel klein beetje minder fijn werken, maar dat is gewoon goed acceptabel. Het feit dat ze dat niet direct deden haalt mij betreft weer een stuk vertrouwen dat IE de goeie kant op ging weg... maja, hopelijk is het oneerlijk om ze op 1 ding te veroordelen... maar dit is echt een bizar simpele bug/design fout.
Voor wie nieuwsgierig is en het artikel niet heeft geopend:
In ieder geval, ik moet zeggen dat de simpelheid van deze bug echt ongelovelijk is en microsoft had dit *makkelijk* binnen een paar uur kunnen fixen. True enough, redelijk wat drag & drop code zou een heel klein beetje minder fijn werken, maar dat is gewoon goed acceptabel. Het feit dat ze dat niet direct deden haalt mij betreft weer een stuk vertrouwen dat IE de goeie kant op ging weg... maja, hopelijk is het oneerlijk om ze op 1 ding te veroordelen... maar dit is echt een bizar simpele bug/design fout.
Voor wie nieuwsgierig is en het artikel niet heeft geopend:
En de fout zit hem er dus in dat screenX van het globale event object word ingesteld terwijl de muis buiten het gebied van de huidige pagina is.<script type="text/javascript">
window.attachEvent("onload", function() {
var detector = document.getElementById("detector");
detector.attachEvent("onmousemove", function (e) {
detector.innerHTML = e.screenX + ", " + e.screenY;
});
setInterval(function () {
detector.fireEvent("onmousemove");
}, 100);
});
</script>
Behalve elk bedrijf. Destijds nog 5 dagen gewerkt op de leuke open versie van IE halfjaartje geleden...
Het onscreen toetsenbord. gebruikt toch ook niemand?
Uit de het bericht :
Onder andere enkele bankensites gebruiken om deze reden een virtueel keyboard.
ben er nog geen tegen gekomen dus ben toch benieuwd welke sites dat zijn.
Want Nederland is de hele wereld?
Ben ik de enige die wel eens een pc zonder toetsenbord gebruikt maar wel een login scherm krijg ?
In ieder geval mooi dat het naar buiten is gebracht, zo word er in ieder geval aandacht aan besteed en komen er misschien wel "concrete plannen om dit op korte termijn op te lossen."
In ieder geval mooi dat het naar buiten is gebracht, zo word er in ieder geval aandacht aan besteed en komen er misschien wel "concrete plannen om dit op korte termijn op te lossen."
[Reactie gewijzigd door the-dark-force op woensdag 12 december 2012 20:56]
Windows 8?
Daar speelt de onscreen keyboard zeker een zeer belangrijke rol.
Gezien het OS voor tablets en telefoons geschikt is.
Daar speelt de onscreen keyboard zeker een zeer belangrijke rol.
Gezien het OS voor tablets en telefoons geschikt is.
praat je dan niet over windows phone of windows RT ipv windows 8?
daarnaast vraag ik me af of een onscreen keyboard op deze manier af te lezen is. op je tablet en phone zal 99% gewoon vinger aanwijzing gebruiken en word t volgens mij dan wel heel lastig om de muisbewegingen te onderscheppen.
daarnaast vraag ik me af of een onscreen keyboard op deze manier af te lezen is. op je tablet en phone zal 99% gewoon vinger aanwijzing gebruiken en word t volgens mij dan wel heel lastig om de muisbewegingen te onderscheppen.
Het hele idee van Windows 8 is dat we met z'n allen overstappen naar touch devices in de woonkamer. Voor developers/tweakers zal dat wat langer duren, maar ik zie deze overstap wel snel gebeuren.
Ik denk dat als je een muis locatie af kan lezen, dat het ook zal werken voor touch input (volgens mij word bij iedere aanraking je "muis" gewoon verplaatst naar waar je klikt.)
Ik geloof dat Windows 8 met IE10 word geleverd, dus het is maar goed dat ze er op tijd bij zijn.
Ik denk dat als je een muis locatie af kan lezen, dat het ook zal werken voor touch input (volgens mij word bij iedere aanraking je "muis" gewoon verplaatst naar waar je klikt.)
Ik geloof dat Windows 8 met IE10 word geleverd, dus het is maar goed dat ze er op tijd bij zijn.
"Het Microsoft Security Research Center zou de bug hebben bevestigd, maar tevens hebben laten weten dat er geen concrete plannen zijn om de bug via patches op korte termijn te verhelpen"
Ik neem aan dat je op tijd sarcastisch bedoeld?
Ik neem aan dat je op tijd sarcastisch bedoeld?
Nee het OSK is heel wat anders. Het zou hier dus gaan om websites die een (eigen) keypad gebruiken. Een sterk staaltje slechte journalistiek dus.
Overigens hoop ik dat die virtuele keyboards niet meer of minder gebruikt gaan worden ;veel trager, voldoet niet aan OS lay-out, blijkbaar onveilig en gewoon in het algemeen bijzonder irritant. Human input moet je aan Human Input Devices overlaten, niet aan websites!
Overigens hoop ik dat die virtuele keyboards niet meer of minder gebruikt gaan worden ;veel trager, voldoet niet aan OS lay-out, blijkbaar onveilig en gewoon in het algemeen bijzonder irritant. Human input moet je aan Human Input Devices overlaten, niet aan websites!
"Het zou hier dus gaan om websites die een (eigen) keypad gebruiken. "
heb je een bron hierover?
Als het echt waar is, is het wel slechte journalistiek idd.
heb je een bron hierover?
Als het echt waar is, is het wel slechte journalistiek idd.
Zie filmpje... EN het is niet eens alleen websites. Zoals David Mulder schrijft. Ook al zit je buiten je IE focus, vangt het scripts nog steeds muisbewegingen af!
Wederom zie filpje, in Skype wordt een nummer 'gedraaid', in IE ernaast wordt de muisbeweging getoond!
Wederom zie filpje, in Skype wordt een nummer 'gedraaid', in IE ernaast wordt de muisbeweging getoond!
Dat was toch meteen duidelijk bij het lezen van het artikel? Ik vond het in elk geval volkomen duidelijk. Tenzij ze in de tussentijd het artikel veranderd hebben.
Maar in het artikel staat toch duidelijk dat de bankwebsite een virtueel toetsenbord gebruikt? Wat is er "slechte journalistiek" aan jouw onvermogen te begrijpen dat dat niet om het OnScreen Keyboard van windows gaat dan? Je zou hooguit kunnen beweren dat dat ééne zinnetje iets duidelijker gekund had, in plaats van nu te gaan lopen Wildersen dat er een "sterk staaltje slechte journalistiek" gepleegd is.Nee het OSK is heel wat anders. Het zou hier dus gaan om websites die een (eigen) keypad gebruiken. Een sterk staaltje slechte journalistiek dus.
Dat geroeptoeter is al irritant genoeg in de tweede kamer, doe dat svp niet in het echte leven.
Op mijn tablet wel.
6 t/m 10 dus ook in de huidige browser van MS is de kwetsbaarheid aanwezig.
Vreemd dat MS er niets aandoet, want lijkt me toch een kwalijke kwetsbaarheid. Toch maar chrome of Firafox gebruiken dan?
Vreemd dat MS er niets aandoet, want lijkt me toch een kwalijke kwetsbaarheid. Toch maar chrome of Firafox gebruiken dan?
gelukkig gebruik ik het als enige browser en heb nog nooit problemen gehad. heb daarnaast ook nog nooit een website bezocht waar ik invoer via digitale toetsen moest ingeven. denk dat het gevaar behoorlijk klein is. feit blijft wel dat een patch gewoon op zn plek behoort.
IEDERE windows-pc heeft IE, of je nou wil of niet. En ook al gebruik je em niet, je gebruikt em toch verkapt in een aantal tools. Er zijn genoeg tools die een IE-engine gebruiken of ergens verstopt hebben. FeedDaemon bijv, die leeft ervan.
Nog steeds 16% van de wereldbevolking gebruikt IE, dat is 16% teveel maar je kan het niet negeren. Iets wat maar al te vaak duidelijk word bij front-end development. Zou me veel tijd besparen als ik niet alles IE compatible hoefde te maken T_T
http://www.w3schools.com/browsers/browsers_stats.asp
http://www.w3schools.com/browsers/browsers_stats.asp
Valt hier ook IE10 voor WP8 en W8 RT onder? Dan lijkt het me best vervelend, want je kan dan vaak alleen maar met een virtuele toetsenbord typen.
AFAIK heb je dan geen (muis)cursor maar krijg je enkel "keypress" events binnen (mits je gebruik maakt van 't native OS ingebakken keyboard). Gebruik je een "HTML/Javascript"-achtig keyboard dan heb je, again: AFAIK, ook geen mouse-move events maar krijg je enkel "mouse clicks" / "touch" events binnen met een bepaald target / X,Y coord. Maar ik kan me in beide gevallen vergissen[/].
[Reactie gewijzigd door RobIII op woensdag 12 december 2012 18:16]
Ja, Windows RT valt hier ook onder, net getest. Opvallend genoeg pakt ie enkel het touchpad van mijn tablet, en niet de touch input als cursor.
Het werkt ook op RT omdat het geen lek is zoals een buffer overflow, wat vrij low-level is, maar deze kwetsbaarheid lijkt een high-level geval te zijn. Meer een fout geïmplementeerde specificatie.
Het werkt ook op RT omdat het geen lek is zoals een buffer overflow, wat vrij low-level is, maar deze kwetsbaarheid lijkt een high-level geval te zijn. Meer een fout geïmplementeerde specificatie.
[Reactie gewijzigd door Sebazzz op woensdag 12 december 2012 19:58]
Omdat de touchpad een ('gesimuleerde') muis is die van->naar kent (en dus "mouse" -move events) en de touch display niet? Die zou alleen "hier" (x,y) kennen*. Lijkt me vrij logisch? Maar misschien kraam ik onzin uit hoorJa, Windows RT valt hier ook onder, net getest. Opvallend genoeg pakt ie enkel het touchpad van mijn tablet, en niet de touch input als cursor.
* Hoewel je natuurlijk wel over het scherm zou kunnen vegen/tekenen, maar dat geeft geen "move" events maar eerder swipe/pinch en dat soort zaken. Je hebt met een touchscreen niet echt een "(muis)cursor".
[Reactie gewijzigd door RobIII op woensdag 12 december 2012 21:13]
Gaan we tegenwoordig alleen lekken posten van browsers op tweakers.net als hij van Microsoft is ? De afgelopen tijd zijn er genoeg lekken te vinden van Chrome en Firefox, maar die vind je hier nooit terug.... Het creëert namelijk een beeld dat alleen internet explorer bugs bevatten (voor de leken hoop ik alleen)
Daarnaast nemen websites zoals Nu.nl en telegraaf het klakkeloos over en verergerd het beeld nog meer
Daarnaast nemen websites zoals Nu.nl en telegraaf het klakkeloos over en verergerd het beeld nog meer
[Reactie gewijzigd door vali op woensdag 12 december 2012 21:07]
Zijn dat ook, serieuze, lekken waarvan google heeft aangegeven ze gewoon open te laten? Dat, vind ik, is het kwalijke hier. Als MS op korte termijn met een oplossing zou komen zou dit lek niet zoveel nieuwswaarde hebben, maar ze weigeren kennelijk om er iets aan te doen.
hoe serieus is dit lek? er is niet bekent op welke manier toegang tot de pc verkegen dient te worden voor ze het kunnen uitlezen, en alleen via het gebruik van een digitaal keyboard ( als ik het dus zo lees gaat het niet over een onscreen keyboard maar geprogrameerd keybaord in een website) kunnen ze eventueel iets. als ik even uitga van mezelf als gemiddeld internet gebruiker kan ik me geen enkele site herinneren waar ik via digitale invoer heb gewerkt. dus zo serieus is nog maar de vraag.
Als ik de tekst lees dan gaat het over JS-exploit die buiten een iframe kan treden en mouse-events kan afvangen.
Moeilijkheidsgraad iets in de richting van 0,0 als je eigen ads in een ad-netwerk kan stouwen.
Hoe serieus het is is veelal juist niet de vraag, over het algemeen is de vraag eerder : Hoe moeilijk is het?
Want dat we hier in de benelux weinig html on screen keyboards kennen zegt niets. Stel dat dat de norm zou zijn bij chinese banken dan heb je het over 1/7 van de wereldbevolking
Moeilijkheidsgraad iets in de richting van 0,0 als je eigen ads in een ad-netwerk kan stouwen.
Hoe serieus het is is veelal juist niet de vraag, over het algemeen is de vraag eerder : Hoe moeilijk is het?
Want dat we hier in de benelux weinig html on screen keyboards kennen zegt niets. Stel dat dat de norm zou zijn bij chinese banken dan heb je het over 1/7 van de wereldbevolking
Microsoft zegt helemaal niet dat ze het probleem niet gaan oplossen, ze hebben alleen aangegeven als feedback naar de ontdekkers dat zij momenteel nog geen oplossing hebben. Als het probleem al vanaf IE6 aanwezig is, ga je zo'n issue niet even binnen twee maanden kunnen oplossen..
Daarbij kunnen wij niet kijken in de keuken van Microsoft en mogelijk zijn er nog een aantal (security) issues welke een hogere prioriteit hebben..
Daarbij kun je alleen invoer afvangen als het virtuele keyword in HTML is geschreven. Virtuele keyboards zoals op telefoons en tablets worden getoond door het OS en zijn dus niet vulnerable.
Daarbij waarschuwt spider.io dat dergelijke virtuele keyboards door onder andere banken worden gebruikt. Maar de meeste banken hebben geen banners binnen hun internet bankieren website, dus ook die vlieger gaat niet op..
Hoewel het vervelend is dat men muis events kan afvangen, kan ik ook begrijpen dat Microsoft deze bug niet de hoogte prioriteit geeft omdat de impact in de praktijk vrij laag zal zijn..
Daarbij kunnen wij niet kijken in de keuken van Microsoft en mogelijk zijn er nog een aantal (security) issues welke een hogere prioriteit hebben..
Daarbij kun je alleen invoer afvangen als het virtuele keyword in HTML is geschreven. Virtuele keyboards zoals op telefoons en tablets worden getoond door het OS en zijn dus niet vulnerable.
Daarbij waarschuwt spider.io dat dergelijke virtuele keyboards door onder andere banken worden gebruikt. Maar de meeste banken hebben geen banners binnen hun internet bankieren website, dus ook die vlieger gaat niet op..
Hoewel het vervelend is dat men muis events kan afvangen, kan ik ook begrijpen dat Microsoft deze bug niet de hoogte prioriteit geeft omdat de impact in de praktijk vrij laag zal zijn..
Er staat dat ze geen plannen hebben het probleem op korte termijn op te lossen. Dat is, zoals ik het lees, wat meer dan geen oplossing hebben, dat is geen oplossing zoeken. Maar het kan zijn dat mijn interpretatie te pessimistisch is.Microsoft zegt helemaal niet dat ze het probleem niet gaan oplossen, ze hebben alleen aangegeven als feedback naar de ontdekkers dat zij momenteel nog geen oplossing hebben. Als het probleem al vanaf IE6 aanwezig is, ga je zo'n issue niet even binnen twee maanden kunnen oplossen.
Maar dat is nu juist het nare van dit lek, het treft niet alleen de site waar het script geïnjecteerd wordt. Wanneer het script eenmaal geladen is op een site, kan de muis gevolgd worden, of je nu naar een ander tabblad gaat of zelfs de browser minimaliseertDaarbij waarschuwt spider.io dat dergelijke virtuele keyboards door onder andere banken worden gebruikt. Maar de meeste banken hebben geen banners binnen hun internet bankieren website, dus ook die vlieger gaat niet op..
Natuurlijk moet je dan nog wel een manier vinden om er achter te komen dat een banksite geladen is en dat het virtuele toetsenbord daar gebruikt wordt. Dat zou, denk ik, met patroonherkenning wel moeten kunnen, als de aanvaller weet op welke bank (welk toetsenbord) hij zich wil richten.As long as the page with the exploitative advertiser’s ad stays open—even if you push the page to a background tab or, indeed, even if you minimise Internet Explorer—your mouse cursor can be tracked across your entire display.
EDIT: Of je kunt, zoals in de demo op de spider.io site, zien welke nummers iemand intoetst in skype.
[Reactie gewijzigd door Ook al Bezet op woensdag 12 december 2012 21:38]
Het gaat ook buiten het window hè? Dus een besmette banner in een ander, geminimaliseerd venster is al genoeg(!)
IE is volgens mij de enige browser zonder auto-update. Dus moeten mensen _zelf_ actie ondernemen om de bug eruit te krijgen. En dus is dit meer nieuws dan bij een browser waarbij alles achter de schermen wordt verholpen.
omdat dat in het OS voor zowel OS als overige software van dezelfde leverancier zit verwerkt.IE is volgens mij de enige browser zonder auto-update.
En we noemen hem... WindowsUpdate.
In Internet Explorer 10 zit er tegenwoordig een auto install functie.
[Reactie gewijzigd door vali op woensdag 12 december 2012 23:22]
Waarom zijn er dan nog steeds mensen die met IE8 werken?
Windows update. Ligt eraan hoe je dat ingesteld hebt staan natuurlijk, als je die uit hebt staan, krijg je inderdaad geen automatische updates voor IE.
Je kunt volgen wat de muis doet, maar kan je ook volgen waarop wordt geklikt?
Vind het trouwens wel een kwalijke zaak dat dat bedrijf zomaar een kant en klare exploit online zet (wat veel bedrijven doen), dat je zegt dat het mogelijk is, maar ook de code geven?
Vind het trouwens wel een kwalijke zaak dat dat bedrijf zomaar een kant en klare exploit online zet (wat veel bedrijven doen), dat je zegt dat het mogelijk is, maar ook de code geven?
[Reactie gewijzigd door Loller1 op woensdag 12 december 2012 18:16]
Nee, in dit geval vind ik van niet ze hebben MS 2 maanden de tijd gegeven om dit kritieke lek te dichten maar MS maakt het allemaal weinig uit. Ze proberen dus op deze manier nu MS te dwingen om IE veilig te maken. Deze exploit kan natuurlijk niet alleen door Spider.io kan worden gevonden maar ook door hackers die niet aan de goede kant van de lijn opereren.Spider.io zegt dat zij op 1 oktober details over de kwetsbaarheid, die aanwezig is in Internet Explorer 6 tot en met 10, aan Microsoft hebben doorgegeven. Het Microsoft Security Research Center zou de bug hebben bevestigd, maar tevens hebben laten weten dat er geen concrete plannen zijn om de bug via patches op korte termijn te verhelpen. De firma heeft daarop besloten de exploitcode openbaar te maken.
dus omdat het ook mogelijk is dat slechte hackers het lek vinden gaan we het maar gewoon in t openbaar gooien? wat is het nut van openbaar maken van exploids? en vooral waarom dan de exploidcode erbij geven. dat je openbaar maak dat MS het lek niet wil dichten en dat er dus een mogelijk gevaar is logisch en goed, maar de code erbij geven is gewoon NOT done. ze dwingen MS helemaal niet hiermee, ze laten eerder een slechte naam achter bij het merendeel van de bevolking. denk je nu echt dat het merendeel van de IE gebruikers hier wakker van ligt als ze nooit een website bezoeken met een digitaal invoer keyboard?
Als een exploit bestaat moet je ervan uit gaan dat het bekend is bij crackers. Nu kan ook de rest van de wereld er notie van nemen en eventueel besluiten geen IE meer te gebruiken.
En waarom niet? Op die manier creeer je nieuwswaarde, en via nieuws kan je potentiële slachtoffers misschien voorkomen. Als ik IT manager zou zijn bij een bank, met een virtueel toetsenbordje, dan zou ik dit welkom nieuws vinden en de website aanpassen.
Nee, dat wordt niet vermeld, maar het stoppen en van richting veranderen van de cursor zegt al veel. Zo werkt 'swipen' op het virtuele toetsenbord van de smartphone ook!Je kunt volgen wat de muis doet, maar kan je ook volgen waarop wordt geklikt?
Microsoft lijkt alleen kritieke fouten/lekken direct te willen fixen. Zoals het nu lijkt moet je dus geen virtueel toetsenbord gebruiken in IE en je bent veilig.
Alleen de tabletjes met RT (zijn er nog niet zo heel veel)? Moet je daar dan gewoon maar je USB toetsenbord van je gewone computer aanhangen dan? Of zijn er gewoon minder virussen mogelijk omdat Microsoft non-appstore software (dus ook malware?) van derden niet toestaat?
Voor een groot bedrijf als Microsoft dat niet bijzonder veel omzet haalt uit zijn gratis software (in tegenstelling tot Windows/Office/Visual Studio/Service Contracten/enz) is er gewoon niet veel capaciteit beschikbaar om dit te fixen. Alhoewel ze nu waarschijnlijk wel in beweging zullen komen.
Misschien een idee om hetzelfde als Google, Apple (WebKit) en FireFox te doen? Gewoon open source, wat goede programmeurs ter ondersteuning en de community met fixes laten komen. Lijkt me dat Microsoft niet meer bang hoeft te zijn dat ze met de release van de IE(6-10) code veel kennis weggeven gezien de software van de concurrentie.
Alleen de tabletjes met RT (zijn er nog niet zo heel veel)? Moet je daar dan gewoon maar je USB toetsenbord van je gewone computer aanhangen dan? Of zijn er gewoon minder virussen mogelijk omdat Microsoft non-appstore software (dus ook malware?) van derden niet toestaat?
Voor een groot bedrijf als Microsoft dat niet bijzonder veel omzet haalt uit zijn gratis software (in tegenstelling tot Windows/Office/Visual Studio/Service Contracten/enz) is er gewoon niet veel capaciteit beschikbaar om dit te fixen. Alhoewel ze nu waarschijnlijk wel in beweging zullen komen.
Misschien een idee om hetzelfde als Google, Apple (WebKit) en FireFox te doen? Gewoon open source, wat goede programmeurs ter ondersteuning en de community met fixes laten komen. Lijkt me dat Microsoft niet meer bang hoeft te zijn dat ze met de release van de IE(6-10) code veel kennis weggeven gezien de software van de concurrentie.
Theoretisch gezien is Internet Explorer een betaalde browser, dit zit simpelweg in je Windows-licentie. En ook dit nog: Open Source heeft niet alleen voordelen maar ook nadelen.
Het gaat niet om een On Screen Keyboard of TouchKeyboard maar om virtuele Javascript-gebaseerde 'keyboards' op websites.Microsoft lijkt alleen kritieke fouten/lekken direct te willen fixen. Zoals het nu lijkt moet je dus geen virtueel toetsenbord gebruiken in IE en je bent veilig.
Alleen de tabletjes met RT (zijn er nog niet zo heel veel)? Moet je daar dan gewoon maar je USB toetsenbord van je gewone computer aanhangen dan?
Sowieso zijn dat verschrikkelijk gebruikersonvriendelijke prutsoplossingen om op een webpagina te integreren.
[Reactie gewijzigd door alt-92 op woensdag 12 december 2012 18:47]
Of je nu beveiligings-software van 1000 euro hebt of geen, deze exploit werkt als ik me niet vergis met javascript en weet altijd de (x, y) vast te leggen. Dat betekend (lijkt me) ook dat touch-schermen en Windows-RT niet veilig is wanneer er bijvoorbeeld een reclame met deze exploit geopend staat.
Daarnaast gaat MS echt niet zomaar IE open-source maken, het is een product van hun wat redelijk wat belang draagt in het Windows systeem (standaard-browser). Dan vraag je stiekem ook of ze dat met Windows ook een keer willen doen. Want ja, Linux en Mac OS kunnen er toch niet veel van leren?
Daarnaast gaat MS echt niet zomaar IE open-source maken, het is een product van hun wat redelijk wat belang draagt in het Windows systeem (standaard-browser). Dan vraag je stiekem ook of ze dat met Windows ook een keer willen doen. Want ja, Linux en Mac OS kunnen er toch niet veel van leren?
Bij Windows 8 RT zijn het touch events en geen mouse events (als je touch gebruikt). Pas als je daar een muis op aansluit zouden ze dat dus kunnen volgen bij RT.
Gezien het kleine aantal sites met een virtueel toetsenbordje denk ik dat het lek niet echt een groot risico inhoud, moesten ze mijn muis volgen dan zouden ze gewoon een raar pad zien want ik beweeg mijn muis de hele tijd over webpagina's, of het nu nut heeft of niet. Ik selecteer ook random zaken, gewoon om niet stil te zitten tijdens het lezen
De muis tracken naar een applicatie buiten IE lukt, maar ze weten niet in welke applicaties je werkt. Men zal het lek wel dichten, het zal gewoon niet als eerste op hun to-patch lijst staan (er zijn vast wel ergere lekken dan dit).
IE10 blijft hier dus met een gerust hart de standaardbrowser (al blijft Chrome wel als backup geïnstalleerd)
.
Dit is trouwens geen "ik heb niets te verbergen dus ze mogen alles van me weten" argument, tuurlijk heb ik liever dat de bug weg is, maar ik heb er gewoon geen schrik en last van.
Gezien het kleine aantal sites met een virtueel toetsenbordje denk ik dat het lek niet echt een groot risico inhoud, moesten ze mijn muis volgen dan zouden ze gewoon een raar pad zien want ik beweeg mijn muis de hele tijd over webpagina's, of het nu nut heeft of niet. Ik selecteer ook random zaken, gewoon om niet stil te zitten tijdens het lezen
De muis tracken naar een applicatie buiten IE lukt, maar ze weten niet in welke applicaties je werkt. Men zal het lek wel dichten, het zal gewoon niet als eerste op hun to-patch lijst staan (er zijn vast wel ergere lekken dan dit).
IE10 blijft hier dus met een gerust hart de standaardbrowser (al blijft Chrome wel als backup geïnstalleerd)
.Dit is trouwens geen "ik heb niets te verbergen dus ze mogen alles van me weten" argument, tuurlijk heb ik liever dat de bug weg is, maar ik heb er gewoon geen schrik en last van.
[Reactie gewijzigd door MClaeys op donderdag 13 december 2012 12:44]
hoe kan het dat dit een nieuw exploid is en dat dit de reden is waarom jij IE niet gebruik? 
Persoonlijk stoor ik mij enorm aan het feit dat men dit "bugs" noemt. Het woord wordt maar te pas en te onpas gebruikt. Dit is geen "bug", maar een regelrechte feature die er al sinds jaar en dag zit ingebakken. Het is via bijv. Javascripting mogelijk om bepaalde input-gerelateerde events ('gebeurtenissen'/'handelingen') op te vangen. Muisbewegingen (MouseMove) zijn hier een voorbeeld van.
Ja, je kunt inderdaad muisbewegingen uitlezen in de vorm van cursor-coördinaten uitgedrukt in pixels. Daar kun je in beginsel niet bijster veel mee. Het wordt echter wel interessant als je er een paar slimme koppen opzet die een verzameling van muiscoördinaten gaan analyseren met behulp van bepaalde algorithmen. Men zou bepaalde typische handelingen/bewegingen kunnen herkennen. Dit principe, ook wel "Gesture Recognition" genoemd, wordt ook wel eens binnen computerspellen benut..
Neem als voorbeeld OCR (Optical Character Recognition); een techniek om tekst binnen binaire rasterdata te herkennen en vervolgens naar een bruikbaar tekstdocument weg te schrijven. Stel je maakt een foto van een krant. Dit ga je dan OCRen (met een programma welk dat kan). De uitvoer daarvan is dan tekst welk je bijv. in je kladblok kunt plakken, wijzigen etc. De algoritmen die gebruikt worden binnen OCR specialiseren zich in het herkennen van letters. Zo kunnen er dus ook algoritmes zijn die zich specialiseren in het herkennen van bepaalde bewegingspatronen (Gesture Recognition dus). Zoals het navigeren en klikken op een virtueel keyboard.
Dat dit uitgelezen kan worden is alleen maar goed; daardoor kunnen wij mooie websites maken. Het is een goede feature. Geen bug. Een bug zou veronderstellen dat het geheel verwijderd zou moeten worden; dat is onzin. De oplossing is hier namelijk niet het verwijderen, maar een extra feature toevoegen waarmee access-level geregeld kan worden. Eventueel per website en/of browser; evenals dat men JavaScript in zijn geheel kan in/uitschakelen voor bepaalde sites, zou ook dit een (sub-)optie kunnen worden.
Typisch ook: ineens is er dan onrust: want oh, een BUG! Terwijl het al sinds jaar en dag als een welkomme feauture aanwezig is, maar diegene die het nu een bug noemen, weer gaan lopen zaniken richting Microsoft, er eerder gewoon te dom of onwetend voor waren om in te zien hoe het al die tijd gebruikt kon worden. Beetje sneu.
Evenals met CAPTCHA (welk evenmin veilig is dankzij genoemde OCR-technieken), kan ook hier wel iets op verzonnen worden, zoals een van structuur-wisselend virtueel toetsenbord. Maar ook dat is zinloos; evenals CAPTCHA. Men maakt zich hier veel te druk om helemaal niets. Al kan ik me voorstellen dat bij de toename van de hoeveelheid haptische invoer er wel misbruik gemaakt zou kunnen worden binnen bekende applicaties. Een beetje serieus ontwikkelaar denkt hier echter tevoren over na, dus er is geen enkel probleem.
Ja, je kunt inderdaad muisbewegingen uitlezen in de vorm van cursor-coördinaten uitgedrukt in pixels. Daar kun je in beginsel niet bijster veel mee. Het wordt echter wel interessant als je er een paar slimme koppen opzet die een verzameling van muiscoördinaten gaan analyseren met behulp van bepaalde algorithmen. Men zou bepaalde typische handelingen/bewegingen kunnen herkennen. Dit principe, ook wel "Gesture Recognition" genoemd, wordt ook wel eens binnen computerspellen benut..
Neem als voorbeeld OCR (Optical Character Recognition); een techniek om tekst binnen binaire rasterdata te herkennen en vervolgens naar een bruikbaar tekstdocument weg te schrijven. Stel je maakt een foto van een krant. Dit ga je dan OCRen (met een programma welk dat kan). De uitvoer daarvan is dan tekst welk je bijv. in je kladblok kunt plakken, wijzigen etc. De algoritmen die gebruikt worden binnen OCR specialiseren zich in het herkennen van letters. Zo kunnen er dus ook algoritmes zijn die zich specialiseren in het herkennen van bepaalde bewegingspatronen (Gesture Recognition dus). Zoals het navigeren en klikken op een virtueel keyboard.
Dat dit uitgelezen kan worden is alleen maar goed; daardoor kunnen wij mooie websites maken. Het is een goede feature. Geen bug. Een bug zou veronderstellen dat het geheel verwijderd zou moeten worden; dat is onzin. De oplossing is hier namelijk niet het verwijderen, maar een extra feature toevoegen waarmee access-level geregeld kan worden. Eventueel per website en/of browser; evenals dat men JavaScript in zijn geheel kan in/uitschakelen voor bepaalde sites, zou ook dit een (sub-)optie kunnen worden.
Typisch ook: ineens is er dan onrust: want oh, een BUG! Terwijl het al sinds jaar en dag als een welkomme feauture aanwezig is, maar diegene die het nu een bug noemen, weer gaan lopen zaniken richting Microsoft, er eerder gewoon te dom of onwetend voor waren om in te zien hoe het al die tijd gebruikt kon worden. Beetje sneu.
Evenals met CAPTCHA (welk evenmin veilig is dankzij genoemde OCR-technieken), kan ook hier wel iets op verzonnen worden, zoals een van structuur-wisselend virtueel toetsenbord. Maar ook dat is zinloos; evenals CAPTCHA. Men maakt zich hier veel te druk om helemaal niets. Al kan ik me voorstellen dat bij de toename van de hoeveelheid haptische invoer er wel misbruik gemaakt zou kunnen worden binnen bekende applicaties. Een beetje serieus ontwikkelaar denkt hier echter tevoren over na, dus er is geen enkel probleem.
[Reactie gewijzigd door CoreIT op woensdag 12 december 2012 19:51]
Het lijkt mij toch absoluut een bug dat je het buiten het browser venster (dus na focus loss) kan uitlezen. Dat het binnen een browser venster kan terwijl het tabblad van de site actief is, is inderdaad een mooie feature. Maar daarna mag het van mij toch echt wel stoppen, zou ook niet in zien waarom je (voor iets "normaals") de muis buiten je site wilt volgen.Persoonlijk stoor ik mij enorm aan het feit dat men dit "bugs" noemt. Het woord wordt maar te pas en te onpas gebruikt. Dit is geen "bug", maar een regelrechte feature die er al sinds jaar en dag zit ingebakken. Het is via bijv. Javascripting mogelijk om bepaalde input-gerelateerde events ('gebeurtenissen'/'handelingen') op te vangen. Muisbewegingen (MouseMove) zijn hier een voorbeeld van.
Ja, je kunt inderdaad muisbewegingen uitlezen in de vorm van cursor-coördinaten uitgedrukt in pixels. Daar kun je in beginsel niet bijster veel mee. Het wordt echter wel interessant als je er een paar slimme koppen opzet die een verzameling van muiscoördinaten gaan analyseren met behulp van bepaalde algorithmen. Men zou een bepaalde typische handelingen kunnen herkennen.
Neem als voorbeeld OCR (Optical Character Recognition); een techniek om tekst binnen binaire rasterdata te herkennen en vervolgens naar een bruikbaar tekstdocument weg te schrijven. Stel je maakt een foto van een krant. Dit ga je dan OCRen (met een programma welk dat kan). De uitvoer daarvan is dan tekst welk je bijv. in je kladblok kunt plakken, wijzigen etc. De algoritmen die gebruikt worden binnen OCR specialiseren zich in het herkennen van letters. Zo kunnen er dus ook algoritmes zijn die zich specialiseren in bepaalde muisbewegingen. Zoals het navigeren en klikken op een virtueel keyboard.
Dat dit uitgelezen kan worden is alleen maar goed; daardoor kunnen wij mooie websites maken. Het is een goede feature. Geen bug. Een bug zou veronderstellen dat het geheel verwijderd zou moeten worden; dat is onzin. De oplossing is hier namelijk niet het verwijderen, maar een extra feature toe te voegen waarmee access-level geregeld kan worden. Eventueel per website en/of browser; evenals dat men JavaScript in zijn geheel kan in/uitschakelen voor bepaalde sites, zou ook dit een optie kunnen worden.
Typisch ook: ineens is er dan onrust: want oh, een BUG! Terwijl het al sinds jaar en dag aanwezig is, maar diegene die het nu een bug noemen, weer gaan lopen zeiken richting Microsoft, er eerder gewoon te dom of onwetend voor waren om in te zien hoe het al die tijd gebruikt kon worden. Beetje sneu.
Evenals met CAPTCHA (welk evenmin veilig is dankzij genoemde OCR-technieken), kan ook hier wel iets op verzonnen worden, zoals een van structuur-wisselend virtueel toetsenbord. Maar ook dat is zinloos; evenals CAPTCHA. Men maakt zich hier veel te druk om juist helemaal niets.
Dat, en het event mag ook beslist niet cross-domain doorlekken, en dat gebeurt nu "uiteraard" ook.
Een advertentie-iframe op tweakers.net mag dus niet mijn muis kunnen volgen, tenzij de muis toevallig boven het iframe hangt, maar daarbuiten niet. Of het browservenster nou gefocused is of niet.
Een advertentie-iframe op tweakers.net mag dus niet mijn muis kunnen volgen, tenzij de muis toevallig boven het iframe hangt, maar daarbuiten niet. Of het browservenster nou gefocused is of niet.
[Reactie gewijzigd door _Thanatos_ op woensdag 12 december 2012 23:10]
Allemaal leuk en aardig; maar die events hoort niet "iedereen" (bijvoorbeeld een ad in een iFrame) te krijgen; dat is nou net de crux. Een 3rd party kan dus informatie krijgen van een pagina waar ze helemaal geen recht op hebben door zich bijvoorbeeld te verstoppen in een ad in een iFrame.Persoonlijk stoor ik mij enorm aan het feit dat men dit "bugs" noemt. Het woord wordt maar te pas en te onpas gebruikt. Dit is geen "bug", maar een regelrechte feature die er al sinds jaar en dag zit ingebakken. Het is via bijv. Javascripting mogelijk om bepaalde input-gerelateerde events ('gebeurtenissen'/'handelingen') op te vangen. Muisbewegingen (MouseMove) zijn hier een voorbeeld van.
Je krijgt als 'attacker' dus veel meer informatie dan die je zou moeten (kunnen) krijgen. En dat is wel degelijk een 'information leak' (en dus wel degelijk een bug).An attacker can get access to your mouse movements simply by buying a display ad slot on any webpage you visit.
[...]
Internet Explorer’s event model populates the global Event object with some attributes relating to mouse events, even in situations where it should not. Combined with the ability to trigger events manually using the fireEvent() method, this allows JavaScript in any webpage (or in any iframe within any webpage) to poll for the position of the mouse cursor anywhere on the screen and at any time—even when the tab containing the page is not active, or when the Internet Explorer window is unfocused or minimized.
Concreet voorbeeld is lastig(er); een bank zal bijvoorbeeld niet snel ads op z'n inlogpagina met virtual keyboard mikken, maar zoals je in 't artikel kunt lezen:
Het gaat die f*ckers helemaal geen zak aan waar ik allemaal klik in een pagina. Pak een Facebook oid waar wél ads worden weergegeven; zij (de "ad company", niet FB zélf, die kunnen 't en zouden 't ook moeten kunnen; het is immers hun eigen site/pagina) kunnen dan bijvoorbeeld bepalen waar ik allemaal klik als ik op de FB pagina van bedrijf X zit en daarmee bepalen hoe effectief (of ineffectief) bijvoorbeeld bepaalde "targets" op een pagina van een concurrent/conculega zijn en hebben daarmee een oneerlijk voordeel t.o.v. anderen. En ja, de wereld vergaat niet hiermee; maar er spelen soms grote bedragen. Los daarvan heb je gewoon een beveiligingsrisico in het geval 3rd parties wél op een-of-andere-manier (of dat nou ads zijn of injection op een andere manier is) een belangrijke pagina weten te infecteren waar muiscoördinaten en/of clicks een belangrijke rol spelen.The vulnerability is already being exploited by at least two display ad analytics companies across billions of page impressions per month.
Wat nog veel erger is (en zoals je kunt zien in de demonstratievideo bijvoorbeeld) is dat men in staat is zelfs de muis te tracken buiten de boundaries van de browser (specifiek: buiten de content area, dus niet alleen binnen de chrome van de browser maar zelfs daar nog buiten). Probeer voor de gein anders even (in IE uiteraard) de demo, maak je browser niet-full-screen en beweeg met je muis buiten de browser (of versleep je browser over je desktop) en zie wat zich afspeelt op de demo-pagina.
[Reactie gewijzigd door RobIII op woensdag 12 december 2012 20:02]
Volledige mee eens, snap ook niet wat het probleem is. Juist voor games en dergelijke html5 applicaties is dit ideal en het zou een beetje lullig zijn als je net wilt richten op een tegenspeler in een game en je muis komt buiten je venster. Is dus gewoon een feature en geen bug. En dan nog zouden ze het tracken, zal mij een zorg zijn.
Lol ik surf al zeker 15 jaar op het internet en ontwikkel al 10 jaar websites maar heb nog NOOIT een website gezien met een onscreen javascript keyboard. Dat websites kunnen bijhouden wat je precies met je muis doet op een website is niet zo heel erg aangezien de meeste websites toch al al je zoekopdrachten en muisklikken op links/ads bijhouden.
Het hoeft geen volledig keyboard te zijn, gewoon een numpad oid. Deutsche Bank gebruikte dit bv. vroeger om de code vanop een kaartje in te voeren.
Het is niet erg omdat het toch al gebeurt
Het erge is dat een site ALLE muisbewegingen kan bijhouden. Niet alleen de bewegingen die bij de site of bij het frame horen. Dus als jij een tab open hebt op een malafide website, kan die de muisbeweging bijhouden op het tabblad waar je je bankzaken doet.
Ik vermoedt dat zelfs InPrivate geen effect heeft.
Het erge is dat een site ALLE muisbewegingen kan bijhouden. Niet alleen de bewegingen die bij de site of bij het frame horen. Dus als jij een tab open hebt op een malafide website, kan die de muisbeweging bijhouden op het tabblad waar je je bankzaken doet.
Ik vermoedt dat zelfs InPrivate geen effect heeft.
Kan iemand mij uitleggen waarom die ook maar iets uitmaakt? Van mij mag iedereen mijn muisbewegingen volgen, kan je niks mee lijkt mee.
Op dit item kan niet meer gereageerd worden.
Populair: Tablets Samsung Websites en communities Mobiele telefoons Google Sony Games Microsoft Consoles Microsoft Xbox One
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
