Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 126 reacties
Bron: Secunia

Bij het securitybedrijf Secunia heeft men ontdekt dat een bug uit de tijd van Internet Explorer 3 en 4 in versie 6 van deze browser weer is opgedoken. Ook bepaalde versies van Mozilla (tot en met 1.6), Mozilla Firefox (tot en met 0.8), Netscape (6.x en 7.x), Opera, Safari en Konqueror bevatten de bug in kwestie. Indien er twee browservensters openstaan, in de ene een site met frames en in de andere een site met een link naar een 'slechte' site, kunnen mensen met minder goede bedoelingen ervoor zorgen dat die site geopend wordt in een van de frames van het andere browservenster. Op die manier kan de gebruiker op het verkeerde spoor gezet worden en ten onrechte denken dat de in het frame geopende 'slechte' website deel uitmaakt van de gehele website (het zogenaamde spoofing).

Bug stampen (klein)Vooral wanneer de website met frames een door de gebruiker vertrouwde website is, bijvoorbeeld Windows Update of sites van banken, kan deze bug gevaarlijk zijn. Voorlopig zijn er nog geen patches ter beschikking gesteld; Secunia raadt dan ook aan voorzichtig te zijn of over te stappen naar een andere browser of een recentere versie ervan. Er is tevens een testpagina gemaakt waarop men kan natrekken of zijn of haar browser deze bug bevat.

Moderatie-faq Wijzig weergave

Reacties (126)

1 2 3 ... 6
Mozilla FireFox (0.x)
ALs ik met Firefox 0.9 probeer op de testpagina, dan merk ik dat deze geen last heeft van de bug.
Hier ook nergens last van met 0.9.1 (linux) :)

Konqueror doet het idd wel fout

Er staat ook idd:
The following browsers are not affected:
* Mozilla Firefox 0.9 for Windows
* Mozilla Firefox 0.9.1 for Windows
* Mozilla 1.7 for Windows
* Mozilla 1.7 for Linux
Ik draai hier met mozilla 1.7, onder linux (fedora), en bij mij werkt de bug helaas wel, getest met de link in het nieuwsbericht.

[edit]
Ik had het eerst getest met het openen in een nieuw scherm.
Door tab-bladen te gebruiken heeft de bug echter geen effect meer.
Hier mozilla 1.7 onder windows en ik deel ook in de klappen

Heb ook dezelfde bevinding gedaan ivm de tabs
Ik draai hier mozilla 1.7 op slackware 10.0 en heb geen
last van de bug.
mijn mozilla 1.7 op linux heb de fout ook
Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.7) Gecko/20040609
gelukkig gebruik ik firefox 0.9.1 als default browser :P
Inderdaad, ik heb hetzelfde
En wat je wat het ironische daarvan is? Dat Firefox 0.9 een browser is met minder features dan alle andere browsers. De volgende versie van Firefox heeft ook deze "bug".
Ik draai hier Firebird 0.7, ook wel bekend als de voorloper van firefox. Ik heb de test meerdere keren uitgevoerd maar ik krijg het niet voor elkaar om de fout te laten zien...
Misschien ligt het aan de tab extention die ik gebruik.
Firebird bevalt me beter dan Firefox, dus upgraden zit er voor mij voorlopig niet in :P
Vreemd, want ik gebruik 0.9.1 op windows hier gaat ie dus wel de fout in...

Lama.. ik zit met m'n neus te kijken, 0.9.1 is dus wel goed!
IE 6.0 op windows 2003 -> Geen problemen hierzo..

misschien wat met security settings te maken ook?

edit: ga bij security settings, en zet 'Navigate sub-frames accros different domains' op prompt of disable en het is in orde
Precies!

Het is dan ook in mijn ogen geen bug, maar domweg een instelling. Dit verklaart dan ook tevens de wisselende ervaringen met dezelfde browser (in ieder geval met IE): deze en gene heeft deze setting dus anders staan ;)
nou mijn IE heeft er idd geen last meer van (winXP)
ook al gebruik ik toch firefox
ik wilde het toch even weten...
Secunia raadt dan ook aan voorzichtig te zijn of over te stappen naar een andere browser of een recentere versie ervan.
Zal allicht nog moeilijk gaan als zoveel browsers/versies er last van hebben.

Moeten we nu allemaal IE 2.0 downloaden? :+
Nee, hoor lynx
Let wel:

The following browsers are not affected:
* Mozilla Firefox 0.9 for Windows
* Mozilla Firefox 0.9.1 for Windows
* Mozilla 1.7 for Windows
* Mozilla 1.7 for Linux
kijk daar worden al die lui wel even stil van, die bij elke fout in IE roepen dat mozilla, opera en linux (bv konqerer) veel veiliger zijn. Afgezien daarvan een kwalijke zaak,. wederom!
kijk daar worden al die lui wel even stil van, die bij elke fout in IE roepen dat mozilla, opera en linux (bv konqerer) veel veiliger zijn.
Oh, dus als er een gezamenlijke beveiligingsfout wordt gevonden, maakt dat het grotere aantal beveiligingsfouten (153 sinds 18 april 2001, dat is bijna iedere week één!) in IE minder erg?

Het is niet voor niets dat de Waarschuwingsdienst van het Ministerie van EZ en het CERT adviseren om geen gebruik meer te maken van IE!

Ieder programma heeft last van beveiligingslekken en andere fouten, maar IE spant werkelijk waar de kroon.
Oh, dus als er een gezamenlijke beveiligingsfout wordt gevonden, maakt dat het grotere aantal beveiligingsfouten (153 sinds 18 april 2001, dat is bijna iedere week één!) in IE minder erg?
ben ik toch benieuw wat voor browser ze bij dit en andere ministeries gebruiken
Ware het niet dat het bij Mozilla niet werkt/gefixt is :)
kijk daar worden al die lui wel even stil van, die bij elke fout in IE roepen dat mozilla, opera en linux (bv konqerer) veel veiliger zijn. Afgezien daarvan een kwalijke zaak,. wederom!
Dus jij ziet deze fout die je eigenlijk geen bug kunt noemen als het bewijs dat IE net zo veilig is als mozilla, omdat zowel IE als mozilla deze bug hebben? Rare redenering! :)

Daarbij negeer je de vele ernstige beveiligingslekken in nog steeds in IE zitten, maar die Microsoft niet fixt. De virussen die die lekken misbruiken en die zich via websites verspreiden negeer je dus ook maar?

Ik weet dat deze reactie onterecht naar troll gaat omdat 2/3 van de tweakers hier zo achterlijk is om IE te gebruiken, en zich persoonlijk beledigd zal voelen, maar dom is het wel om momenteel IE te gebruiken.

Dat leken op het gebied van internetsurfen nog steeds internet explorer gebruiken is begrijpelijk, ze weten niet beter. Maar dat tweakers IE gebruiken is werkelijk ongelovelijk.

Zelf microsoft zegt dat je de beveiliging op maximum moet zetten voor untrusted sites. Dat betekent dus voor alle sites omdat er zo'n virus ronddwaalt. Geen activeX en javascript dus.

Gezien het veiligheidsrisico is het dwaas om met Internet Explorer te surfen. Een beter woord is er imho niet voor. Elke website is een mogelijke bedreiging.
Ik gebruik avant browser (gebaseerd op ie), maar zie geen content van de secunia-website in een frame van de msdn-library-pagina. Geen last van dus.
Idd, Met MyIE2 (laatste) werkt de bug ook niet :)
Waarschijnlijk kan die bug niet overweg met tabs??

Overigens met IE6 op XP deed de bug het weer wel.

Hoe dan ook, een tabbed shell voor over IE lijkt de bug ook teniet te doen (mits je geen vensters buiten je app opent)...
Ik gebruik "Crazy Browser" een soortgelijke shell over IE heen, maar dan ook tabjes.
Hierin doet deze 'bug' het ook gewoon.
Zal dus niet zozeer 'zomaar' zijn dat het bij een tab-based IE niet werkt ;)
Mijn IE (6.0) heeft dus wel last van die bug, terwijl Firefox 0.9.1 er geen last van heeft....
Lijkt mij veel heisa om niets, dat is gewoon de link target die je de name van die frame geeft, dit is ook wenselijk in veel gevallen, bv. ene site met ene popup window die dat popup-window vanuit de site zelf wil doen veranderen. (Bv. een reek thumbnails, waar je op kunt klikken en de groote versie telkens in hetzelfde popupvenster terrechtkomt)
en ik zie niet echt goed in hoe zoiets misbruikt kan worden. De "hacker" moet zeker weten dat die site waa rhij zijn gespoofde frame in wil openen wel degelijk openstaat, anders krijg je gewoon een nieuw venster met daar de gespoofte frame in geopend, lijkt mij een vrij onwaarschijnlijek gebneurtenis ?
Dat is allemaal heel simpel te automatiseren. Link maken naar een pagina van jezelf die een nieuw venster van bijv. de Rabobank opent, en, zeg 10 sec later, in het frame een eigen, gespoofte pagina openen. Is 10 seconden werk om te maken, en levert je waarschijnlijk snel gegevens op van creditcards en dergelijke... :X
Dus jij denkt dat als iemand op een pagina komt waar opeens die opeens ongevraagd de rabobank-site doet popuppen, die persoon daar zomaar lustig op gaat inloggen en vertrouwelijke informatie invullen?
Stuur bv een email naar iemand met een link naar een pagina, die geeft een gewone link naar rabobank.nl. Ondertussen activeerd die site een javascriptje ofzo, wat na een bepaalde tijd een neppagina in een frame van de rabobank pagina plaats.
Damn, ik dacht dat dit een feature was en had dit geïmplementeerd in een monitoring tool die ik gemaakt heb. Back to the drawingboard... |:(
Het is op zich ook gewoon een feature, maar dan eigenlijk niet van een van die browsers maar van w3c's eigen Document Object Model. Dit is een definitie voor de structurering van content en maakt het mogelijk om bijvoorbeeld de content van een frame of een div te wijzigen zonder de rest van de pagina te veranderen.

Wat wel apart is, is dat in de implementatie (de browsers) van deze feature dus blijkbaar geen onderscheid maakt in de domains waarin de verschillende objecten hun eigenschappen kunnen uitwisselen. Een beveiliging hiervoor is volgens mij vrij lastig, aangezien het geen ongewone feature is en ook vrij veel gebruikt wordt (feitelijk iedere active content site). Door een domeingrens te stellen lijkt het mij dat bijv frames/divs met ad's van andere domeinen ook wel eens de dupe zouden kunnen worden...... Hmmmm
:?
Als ads van derdern in een los frame geblocked worden...... where's the problem? :*)
"It's not a bug, it's a feature!"

Dat deze bug in zoveel browsers zit zou wellicht ook kunnen betekenen dat het ooit bedacht is als feature... je weet maar nooit.
En dan 6 jaar later zijn er andere inzichten over features en vooral over veiligheid en is dit niet meer een feature, maar een bug...
Dan zit je leuk IE-only websites te maken, aangezien de recente (maar ook oudere) versiesvan Mozilla/Firefox en Opera hier geen last van hebben (zie bovenstaande replys).
Geen goede zaak dusch :P

Wel grappig, een IE-only website omdat andere browsers niet dezelfde bugs hebben :D
Nergens last van met FireFox 0.9 onder Win XP :)

Dus overstappen van IE op Mozilla helpt wel degelijk metalsax :P
mmmm...hiero Firefox 0.9 op Windows XP...
en ik heb er ook last van :(

overigens NIET als ik TABs gebruik om de Microsoft pagina te openen.... :Y)

Update: zojuist 0.9.1 geinstalleerd en jawel hoor:

precies hetzelfde resultaat: er wordt 'keurig' een pagina geinjecteerd in het frame op de openstaande Microsoft-pagina... :+

de moraal van het verhaal: gebruik TABs om een nieuwe pagina te openen ;)
sorry hoor jongens maar ik heb de boel getest in firefox 0.9.1 en er zijn geen problemen. Ik had in eerste instantie ook Mozilla 1.6 nog draaien. Die had WEL het probleem. Deze browser heb ik vervolgens geupgrade naar Mozilla 1.7 en daarna was er GEEN probleem meer. Duss:

Firefox 0.9.1: geen probleem
Mozilla 1.6: wel een probleem
Mozilla 1.7: geen probleem

Oftewel, dit is niet afwijkend van wat Secunia stelt!
Mozilla 1.7b en wel degelijk problemen.
Ik heb de "fout" ook, in Firefox 0.9.1. Dus sorry hoor jongens maar ik heb de boel getest in firefox 0.9.1 en er zijn geen problemen klopt niet. Het hangt zoals gezegd af van het in een tab danwel in een nieuw window openen van de Microsoft pagina.
Nou, met FireFox 0.9.1 op windows xp heb ik er wel degelijk last van...
Wel leuk om te zien dat het niet bij iedereen werkt. Bij mij werkt het juist niet in IE, maar wel in Opera en Firefox, echter, alleen onder Windows XP. Onder Windows 98 werkt het wel met IE, maar niet met Opera.
Zeg me niet dat ze daar dan nu achterkomen, want dit verschijnsel zag ik zelf ook al jaren terug toen ik met HTML ging prutsen.

Met een beetje uitleg erbij heb ik zelf ook een "tester" gemaakt : http://w3irdn3rd.no-ip.org/bug/ .

Kan me er niet echt druk om maken. Het valt behoorlijk op als een pagina in een ander venster opeens iets begint in te laden ;)

[edit]
Ik heb er ook even een example bij gedaan hoe je dit dus "leuk" kan misbruiken :+ http://w3irdn3rd.no-ip.org/bug/nasty/
Is wel erg vreemd, dat deze fout in zowat elke browser zit......

Ik bedoelde dus hetgeen Beaves dus uitstekend verwoord.
Is het niet zo dat IE uit de Mosaic browser gebouwd is en dat dat ook de brom is geweest voor Netscape. En Netscape en Mozilla/Firebird gebruiken weer dezelfde enige die doorontwikkeld is vanuit Netscape 4.x
Nee. Dit is geen bug in de browser, maar een feature van HTML die misbruikt kan worden. Verder is frame-support door netscape ontwikkeld. Dus het komt ook niet door de gezamenlijke codebase.

In HTML is het gewoon mogelijk om frames een naampje te geven. Als je dan een link maakt met een "target" erin, wordt de link geopend in het frame met die target-naam. Helaas is het moeilijk te zien of verschillende vensters bij elkaar horen of niet, waardoor deze "bug" die in mijn ogen dus geen bug is van de browser, maar van slecht gemaakte websites.
Het is eigenlijk een bug (of feature) in frames. Nu was ik daar toch al niet zo dol op, maar dit is een goede reden om ze zelf _echt_ nooit te gebruiken.
Indien venster 2 door venster 1 is geopend dan mag dat. Is venster 2 echter door de gebruiker zelf geopend dan mag dat niet.
Dat zou dus niet zoveel uitmaken, lees maar waarom:
Exploitation can easily be made "automatic". However, since this example only serves as a test to give users an understanding of how it works, we have chosen not to do so.
Maargoed, dit is dus weer een reden waarom je geen frames moet gebruiken op een website. Alles dat je met frames kunt bereiken kan je ook prima met de juiste XHTML, CSS, Caching en eventueel wat server-side scripting bereiken.

Ik heb zelf ook wel eens gemerkt dat het per ongeluk gebeurd. Ga maar eens na hoeveel frames er niet main of top heten! Ik vind wel dat hier een patch aan gewijd mag worden, zodat frames niet vanaf een ander domein mogen worden veranderd.
Het klopt dat het moeilijk is om te zien of het een bug is of een feature, in principe was het vroeger bij mijn weten zo geregeld:
Je hebt browser venster 1, daarin wordt een link aan geklikt die in browser venster 2 een frame wil wijzigen. Indien venster 2 door venster 1 is geopend dan mag dat. Is venster 2 echter door de gebruiker zelf geopend dan mag dat niet.
De feature om een frame in een ander scherm te kunnen vervangen vanuit bijvoorbeeld een popup is zeer nuttig en ik hoop dat die feature dan ook niet vanuit veiligheidsoogpunt zal worden verwijderd of iets dergelijks.

Het probleem zit erin dat je in javascript de namen van frames uit andere schermen kunt opvragen. Daardoor kan een vreemde site weten welke frames (met welke namen) het moet vervangen.
Het is wel zo dat MSIE gebaseerd is op Mosaic, kijk maar in de about box..
Hadden ze in die tijd al iframes ?
het is niet zo vreemd. grote lappen source-code (meer dan 100kb text files) is extreem moeilijk zeker als je een team van progammeurs hebt.

hiervoor zijn wel oplossingen. (o.a bugtesters+hunters en Code Repositories) toch is het mogelijk.

@ beavis
oke dat Mozilla oud is en de basis is, echter waarom hebben zoveel verschillende dan de fout ?
grote lappen source-code van dergelijke progs zijn echt wel dikke MB\\\\\\\'s groot, dan spreekt men niet meer van 100kb hoor :Y)
Hij bedoelt meer dan 100 kb per bestand, de source van een groot programma is altijd over een heleboel bestanden verdeeld en 100 kb is al best veel.
Het is ook niet vreemd dat er bugs in programma's zitten, waar gewerkt worden, worden fouten gemaakt en dus ook in programma's.

Maar wat raar is, is dat deze bug in bijna elke browser terug te vinden is, dat is vreemd. Het kan zijn dat de bug al "eeuwen" oud is en in Mosaic zat (een van de eerste browsers en waar onder andere IE op gebasseerd is). Dat kan een verklaring zijn.
een site met frames
Kweet het niet helemaal zeker, maar volgens mij ondersteunde Mosaic in die tijd nog geen frames. Volgens mij werden frames pas gesupport vanaf IE 3 (als mijn geheugen niet in de steek laat)
dat zou betekenen dat M$ de code van mosiac heeft gejat en die was volgens mij des tijds GPL....
nee, MS heeft de code van Mosaic gekocht destijds, om zelf een browser te kunnen bouwen. In de overeenkomst zaten wel wat dingen waar MS niet aan heeft voldaan, zoals het vrijgeven van de sourcecode van iedere komende versie van IE, maar goed.

Netscape heeft wellicht ooit code geleend / gekregen van Mosaic, het is niet uncommon voor programeurs om code te delen zoals sommige mensen mp3's sharen.
1 2 3 ... 6

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True