Vervalste url's mogelijk met Internet Explorer

Onze oosterburen van Heise melden dat er een nieuwe fout in Internet Explorer ontdekt is. Spammers en virusschrijvers 'lokken' vaak gebruikers naar een site door in het eerste deel van de url een bekend adres te plaatsen, bijvoorbeeld www.google.com@213.239.154.35. De gebruiker herkent (het eerste deel van) de url en klikt nietsvermoedend op de link, waarna hij of zij op een andere site dan de verwachte terechtkomt. In het geval van het voorbeeld is dat Tweakers.net. De oorzaak hiervan is dat het gedeelte voor de @ herkend wordt als een gebruikersnaam op de site die erna vermeld wordt.

Internet Explorer iconDat was al langer bekend en het kan ook niet echt als een fout beschouwd worden. De bug in Internet Explorer houdt echter in dat het laatste deel, de echte url dus, niét weergegeven wordt in de adrebalk wanneer het tekentje 0x01 () er in voorkomt, zoals in dit geval. Dit stelt personen met minder goede bedoelingen in staat om een valse versie van bijvoorbeeld Hotmail te creëren, terwijl de gebruiker in de adresbalk de gewone url ziet staan en nietsvermoedend zijn paswoord invoert en verzendt.

Alle versies van IE 6 en ook bepaalde versies van IE 5 hebben hier last van, ook wanneer de beveiligingsinstellingen op het hoogste niveau ingesteld zijn. Microsoft brengt deze maand normaal gezien geen Security Updates meer uit, het is nu afwachten of de softwarereus ten gevolge van deze en een aantal andere recent onthulde problemen terug komt op dat besluit door een 'Emergency'-patch uit te brengen.

Door Steve Lersberghe

Nieuwsposter

Feedback • 10-12-2003 18:37
88 • submitter: T.T.

10-12-2003 • 18:37

88

Submitter: T.T.

Bron: Heise

Lees meer

Kritieke bug in Internet Explorer ontdekt
Kritieke bug in Internet Explorer ontdekt Nieuws van 1 juli 2005
Cross-site scripting brengt Hotmail-gebruikers in gevaar
Cross-site scripting brengt Hotmail-gebruikers in gevaar Nieuws van 7 juni 2005
Lek in Internet Explorer oorzaak van e-mailhacks bij Chello
Lek in Internet Explorer oorzaak van e-mailhacks bij Chello Nieuws van 9 juni 2004
Microsoft brengt vier nieuwe beveiligingspatches uit
Microsoft brengt vier nieuwe beveiligingspatches uit Nieuws van 15 april 2004
Steeds grotere bezorgdheid over browserveiligheid
Steeds grotere bezorgdheid over browserveiligheid Nieuws van 13 april 2004
Tijdelijke oplossing voor lek in Internet Explorer
Tijdelijke oplossing voor lek in Internet Explorer Nieuws van 10 april 2004
In 2003 voor het eerst minder fouten in software gemeld
In 2003 voor het eerst minder fouten in software gemeld Nieuws van 16 maart 2004
Microsoft patcht adresbalk-bug Internet Explorer
Microsoft patcht adresbalk-bug Internet Explorer Nieuws van 2 februari 2004
Microsoft: niet meer op links klikken voor veiliger internet
Microsoft: niet meer op links klikken voor veiliger internet Nieuws van 31 januari 2004
Microsoft van plan usernamemisbruik in te dammen
Microsoft van plan usernamemisbruik in te dammen Nieuws van 29 januari 2004
Open source-bedrijf brengt patch uit voor Internet Explorer
Open source-bedrijf brengt patch uit voor Internet Explorer Nieuws van 19 december 2003
Opnieuw veiligheidsgaten in Internet Explorer ontdekt
Opnieuw veiligheidsgaten in Internet Explorer ontdekt Nieuws van 27 november 2003
Minder pop-ups verwacht met nieuwe Internet Explorer
Minder pop-ups verwacht met nieuwe Internet Explorer Nieuws van 24 november 2003
Overzicht van veiligheidsmaatregelen in Windows XP SP2
Overzicht van veiligheidsmaatregelen in Windows XP SP2 Nieuws van 16 november 2003
Internet Explorer krijgt pop-up killer in Windows XP SP2
Internet Explorer krijgt pop-up killer in Windows XP SP2 Nieuws van 11 november 2003
Surfers kunnen kwaadwillige webaanvallen verwachten
Surfers kunnen kwaadwillige webaanvallen verwachten Nieuws van 10 november 2003
SANS bestempelt IIS als meest onveilige Windows-software
SANS bestempelt IIS als meest onveilige Windows-software Nieuws van 11 oktober 2003
Ontwikkelaars klagen over stilstand in IE-ontwikkeling
Ontwikkelaars klagen over stilstand in IE-ontwikkeling Nieuws van 10 oktober 2003
Eolas vraagt rechtbank om distributie van IE te laten stoppen
Eolas vraagt rechtbank om distributie van IE te laten stoppen Nieuws van 9 oktober 2003
Internet Explorer wordt aangepast wegens patentschending
Internet Explorer wordt aangepast wegens patentschending Nieuws van 7 oktober 2003
Hoge telefoonrekeningen door lek in Internet Explorer
Hoge telefoonrekeningen door lek in Internet Explorer Nieuws van 27 september 2003
Meer producten en artikelen
Software

Reacties (88)

-Moderatie-faq
88
83
49
20
3
0
Wijzig sortering
wim__k 10 december 2003 19:45
Ik heb maar een kleine demo gemaakt van hoe het zou kunnen werken.

http://wim.rawkstar.net/linklist.php

Door een klik op de link kom je dus vrijwel direct op een pagina die precies op ebay.com lijkt, terwijl je eigenlijk gewoon op een url terecht komt op een andere server.

Mischien overbodig, maar dit is mischien wat duidelijker dan het artikel.
Verwijderd @wim__k10 december 2003 21:40
ik heb je voorbeeld ff schaamteloos gejat en het javascript aangepast zodat bij rechts klikken (ook als context menu zichtbaar is) de echte link ook niet verschijnt:

http://www.xs4all.nl/~ninazero/notebay.htm
mindcrash @Verwijderd11 december 2003 11:04
Jouw tweede voorbeeld bevat iets te veel code ;)

Hierbij dus een slankere versie die perfect werkt... ons bedrijf had bijvoorbeeld ineens Microsoft "overgenomen", toch wel leuk om de enige webdesigner/developer in het bedrijf zijn :Y)

Anyway... in onderstaande voorbeeld heeft t.net opeens slashdot "overgenomen" ;) :

<a href="http://www.slashdot.org" onClick="window.location='http://www.slashdot.org@www.tweakers.net'; return false;">News for nerds...</a>

waarbij je slashdot.org en tweakers.net uiteraard kunt vervangen door een willekeurig ander www adres. :)

PS: sorry voor het enorme aantal spaties in de a tag... heeft t.net er blijkbaar extragratis aan toegevoegd. Maar gelukkig heeft ieder goed toetsenbord een backspace knop :Y)
Garyu @wim__k10 december 2003 20:18
Dit maakt het redelijk duidelijk, maar zit in je fake pagina er even bij dat het niet de echte is, dat wordt wel op prijsgesteld! En dat maakt nog duidelijker hoe makkelijker het te misbruiken valt!
Verwijderd 10 december 2003 19:04
Euuh tja, mm 'de grote spamtruuk'...
Hoeveel sites hebben wel geen url's als deze om een pagina vanop een andere site te openene in een frame:
http://blabla.com/redirect?http://eensite.com

Waarbij blabla.com dan een goede site lijkt (als google) en http://eensite.com dan een spamsite kan zijn die zich uit het frame werkt met een scriptje...

Lijkt mij nu niet bepaald een bug...
't is veel gevaarlijker om url's als deze te volgen:
[url="http://hiermoeteengecodeerdipstaan/?www.degoeiesite.com"]http://hiermoeteengecodeerdipstaan/?www.degoeiesite.com[/url]
met een simpel progje als webserver te laten op dat ip kan men zo makkelijk alle gegevens (ip,... van de van geen kwaad bewuste surfer) achterhalen.

EDIT: ik had dus blijkbaar al gereageerd voor de edit...
het is dus wel echt een zware bug... :)
Verwijderd @Verwijderd10 december 2003 19:08
De methode in dit nieuwsbericht is veel gevaarlijker, omdat in combinatie met de bug het voor de surfer niet zichtbaar is dat hij de foute site bezoekt (in de adresbalk staat bijvoorbeeld gewoon google.com). En zoals Jupiler hieronder aangeeft kan een IP altijd gelogged worden.
(Zelfs al vanuit een e-mailbericht: bij het ophalen van images, bijvoorbeeld
[url="http://spambedrijfje/logo.gif?164726826,"]http://spambedrijfje/logo.gif?164726826,[/url] kan jouw e-mailadres aan een ip worden gekoppeld, mits je e-maillezer deze images download - outlook t/m xp)
Zware Unit 10 december 2003 18:42
Opera geeft zoals gewoonlijk een waarschuwing (niet dat er in opera geen security fouten zitten ;))
plexon @Zware Unit10 december 2003 21:22
Opera geeft inderdaad de EERSTE keer een melding maar voor de eenvoudige gebruiker is het dan niet direct duidelijk dat er iets mis is.

Als ik het vervolgens nog een keer probeer wordt er GEEN melding gegeven!! Kan aan mijn instellingen liggen maar die zijn voor zover ik weet nog steeds de defaults.

Explorer gaf bij mij geen enkele keer een melding terwijl ik toevallig net de allerlaatste (security) patches van Microsoft had gedownload.
Verwijderd @plexon11 december 2003 01:01
NEE, dat is NIET waar. Opera waarschuwd me bij de eerste link 1x en bij de 2e link ook 1x. Bij elke link waar dit geintje uitgehaald wordt waarschuwd Opera dus.

Je mag er toch wel van uitgaan dat als je ja klikt je ook ja bedoelt. Toch? 1x waarschuwen is dan genoeg.

Bij een MS product zou er bij staan: dit in het vervolg niet meer weergeven met het vakje alvast aangevinkt. Alleen IE meldt dushelemaal niks.

offtopic:
ik weet nog de vorige x dat er gemeld werd dat er een lek in Opera zat ivm skins. Nou, poe, wat was Opera toch onveilig. Sindsdien is dit de 2e of 3e x dat er in IE weer een lek ondekt wordt. (terwijl Opera 7 veel nieuwer is).
buzzin @Verwijderd11 december 2003 14:34
Opera gaat bij de tweede link ook gewoon naar google zelf toe en niet naar tweakers :)
b19a @Verwijderd12 december 2003 00:40
mijn Opera dus niet :P

(reactie op buzzin)
Spider.007 10 december 2003 18:41
Wat zou nou toch de reden kunnen zijn dat hij precies op '0x01' reageert :?
nihitsia @Spider.00710 december 2003 19:35
Wat is ' 0x01' vraag ik me al af.
Verwijderd @nihitsia10 december 2003 21:00
0x01 is gewoon ASCII waarde 1. (zie http://www.asciitable.com voor details)
Room42 @nihitsia10 december 2003 22:21
0x01 is een New Line begreep ik.

(Oh nee, dat is 0x0A zie ik net.)
AuteurSteve 10 december 2003 19:07
met een simpel progje als webserver te laten op dat ip kan men zo makkelijk alle gegevens (ip,... van de van geen kwaad bewuste surfer) achterhalen
Het IP wordt sowieso achterhaald wanneer je op een site surft, eender welke site. En andere gegevens (OS, browser etc) kunnen ook makkelijk achterhaald worden, maar dat zijn nog steeds geen persoonlijke gegevens.
LauPro @Steve11 december 2003 13:58
Het zit hem er nu juist in dat het onbewust gebeurt.

Bovendien kan een bedrijf aan de hand van die gegevens bijvoorbeeld onderzoeken naar welke content werknemers van de concurrent op zoek zijn! Als je maar genoeg mensen erin laat lopen heb je eventueel per werkplek een profiel van bezochte werksites (=zodat reclame gericht kan worden verstuurd bijvoorbeeld).
Verwijderd 10 december 2003 18:45
Bij Mozilla (waarvan vandaag een nieuwe beta is uitgebracht) wordt het als een bug gezien dat de browser niet waarschuwd dat je linkt met een uid+password. Bij de 1.6 release is dit opgelost.

Alleen ik ben benieuwd of het een programmeerfout is dat url met 0x01 er in niet worden weergeven of is het een bewust ontwerp zodat Microsoft gegevens kan verbergen in je browser. IE houd meer informatie verborgen. Zelfs een lijst met alle URLs en data wanneer je ze hebt bezocht. Ik zoek even de link hiervan..<link>http://seclists.org/isn/2001/Oct/0226.html</link>
Verwijderd 10 december 2003 18:58
Er is was iets krom in dit verhaal inderdaad :) Na het lezen van de bron werd het mij echter wat duidelijker:

http://www.heise.de/security/dienste/browsercheck/demos/ie/e5_18.shtml

edit:
Nieuwspost stiekem aangepast :O
Burat 10 december 2003 19:23
Is niet alleen in de user maar in de hele URL. Alles na 0x01 wordt weggekieperd.

Zie: http://www.tweakers.net//../nieuws/30070
pietje63 10 december 2003 18:42
Het kan aan mij liggen maar ik zie niet in wat hier nou zo gevaarlijk aan is??

De eerste is gewoon een feature, het met ene link mee kunnen sturen van paswoord en login, en het tweede het in bepaalde gevallen niet tonen van de gebruikersnaam, DUS?

Aangezien www.google.com0x01@213.239.154.35 gewoon tweakers.net in mijn adresbalk geeft kan het volgens mij weinig kwaat, gaf het google.com in mijn adresbalk dan had ik het erger gevonden..

[edit]
Zoals de link nu (na wijziging) in het artikel staat komt er wel www.google.com in de adresbalk te staan wat het wel een bug maakt.
Je denkt dat je op www.hotmail.com zit maar je zit op www.hacker.nu die zo je paswoord opvangt en je hotmail paswoord is vaak nog wel te overleven, maar het kan dus ook een zakelijk iets zijn oid.

[edit2]
Als je de link goed bekijkt http://www.google.com@213.239.154.35/ dan zie je dat er hier een vierkant komt achter.com als je deze weglaat dan gaat het wel goed.
Frash @pietje6310 december 2003 19:04
Helemaals mee eens maar ook de volgende dingen waar niemand bij stil staat vormen een groot risico:
Redirectors bijv.
http://rd.yahoo.com/betrouwbaresite/*http://www.tweakers.net
Dan is het kwaad al geschiet als de gebruiker zo'n soort link bezoekt, al blijft hij het niet verbergen.
Om het dan maar niet te hebben over Flash scriptjes die gewoon een volwaardige vorm van javascript toestaan en op fora gebruikt kan worden.
(Dubdub is een leuk voorbeeld voor Javascript integratie in Flash)
Voor de duidelijkheid kan javascript gebruikers spammen met alert windows, cookies jatten en nog veel meer ellende.

-Edit- Mee eens dat het een nare bug is.
Nu zullen er nog meer Paypal fakes komen ;(
boesOne @Frash10 december 2003 19:14
Dus dan maakt het allemaal geen bal meer uit ?

Tuurlijk is dit (weer een) van de bugs in IE.
Weet je wat dit betekent voor online bankieren enzo ?
Je kan je adresbalk niet meer vertrouwen..
Bij de Rabobank staat altijd zo leuk: ga alleen verder als er "https://raboetc.." in je balk staat ..
Daar heb je nu dus niks meer aan..

edit:
Helemaals mee eens maar ook de volgende dingen waar niemand bij stil staat vormen een groot risico:
Bedoel je trouwens dat je het ermee eens bent dat dit weinig kwaad kan ? Of dat je het ermee ens bent dat dit wel een nare bug is :?
mkessels @boesOne10 december 2003 19:48
wat de rabobank eigenlijk zou moeten zeggen:
controleer het certificaat wat bij deze beveiligde site wordt meegeleverd door op het slotje te dubbelklikken. controleer of hierin https://bankieren.rabobank.nl staat en dat dit ook de site is die je bezoekt. (door in de adresbalk te kijken)

Zoals ze het nu zeggen, en deze bug in IE kan ik dus inderdaad een man-in-the-middle attack uitvoeren. idee }>
Verwijderd @boesOne11 december 2003 13:43
Maar er zijn voorvallen geweest in VS waar mensen van een bank zgn. mailtje kregen met een berichtje van gelieve je account wegens technische redenen te confimeren en klick en passwoord en cifjercomputertje verder werd meteen door zo'n truc geld over gemaakt...

cfr:

http://slashdot.org/articles/03/11/14/2324223.shtml?tid=126&tid=172
Verwijderd @boesOne11 december 2003 21:54
Ik heb het getest en volgens mij werkt de bug niet met https...
plexon @boesOne10 december 2003 21:30
man-in-the-middle ok maar kan je er ook iets mee. De RABO heeft een kastje waar je zowel de eigen code als de codes die je van het scherm moet invoeren (diverse keren en kan verlopen). In de codes van het scherm zal heus wel een controlemechanisme zitten dat gekoppeld zit aan het kastje en op het centrale systeem een belletje doet rinkelen als er iets niet helemaal lekker gaat.
Jis @boesOne11 december 2003 00:21
Als de man-in-the-middle daadwerkelijk tussen de gebruiker en de echte site zit is hij degene die geauthoriseerd wordt en niet de echte gebruiker. Zolang die sessie actief is, kan hij dus doen wat ie wilt. Het kastje kan hier weinig aan doen, die berekend alleen de response code. En zolang de MITM de invoer van en naar de gebruiker maar goed doorsluist tijdens het inloggen wordt hij eigenaar van de sessie.
Mogelijk zitten er wel nog verdere checks in client side software die het onmogelijk maken...
Ik vraag me trouwens wel af of het SSL certificaat dit gaat accepteren.
Drogo @boesOne11 december 2003 09:03
Valt wel een beetje mee hé ;)
Iemand die wil internetbankieren typt óf gewoon de URL in, óf haalt 'm uit z'n favorieten.

Zolang hij maar geen link vanaf een andere pagina gebruikt..
twiekert @pietje6310 december 2003 19:01
dat is nu precies de BUG!

klik hier maar eens op:
[url="http://www.google.com@www.tweakers.net/"]www.google.com@www.tweakers.net/[/url]
Verwijderd @pietje6310 december 2003 19:02
Het tweede linkje in het artikel geeft de pagina van tweakers.net, maar in de (mijn) adresbalk staat [url="http://www.google.com."]www.google.com.[/url] Dat vind ik dus geen feature meer.

edit: sneller typen :(
Verwijderd 10 december 2003 19:35
Als ik met mijn Opera 7.21 onder Linux op de link klik ga ik ook naar T.net |:(
Lijkt me niet alleen een probleem van IE.
Het is geen groot probleem als je goed oplet maar toch.
Toch weer een bewijs dat ook niet software voor linux niet helemaal zonder fouten kan zitten

* 786562 kwentje
Garyu @Verwijderd10 december 2003 19:37
Dat je naar Tweakers gaat is logisch, alles voor de @ wordt geinterpreteerd als gebruikersnaam. De vraag is alleen welke url je in je adresbalk ziet staan. Staat daar www.google.com@nummertje of staat er alleen www.google.com? Dat is het probleem in IE!

Je kan dan dus niet meer aan de adresbalk zien op welke pagina je eigenlijk bent, en www.hotmail.com zou iedereen boven zijn pagina kunnen zetten..
Eddey910 @Verwijderd10 december 2003 19:47
De voorlopige 'oplossing' voor dit probleem is dus je vóór het klikken op een link even de eigenschappen bekijkt...
Dat schiet lekker op zeg :+
beesting @Eddey91010 december 2003 19:53
Zelfs deze oplossing/omzeiling werkt niet altijd!! Met javascript, e.d. is er namelijk zelf iets in de statusbalk te zetten. Als je echt zeker wilt zijn zul je dus met de rechtermuisknop op de link moeten klikken en dan pas naar de statusbalk moeten kijken (zolang het context-menu open staat).

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq