Zes jaar oude fout maakt comeback in IE6, Mozilla en Opera

Bij het securitybedrijf Secunia heeft men ontdekt dat een bug uit de tijd van Internet Explorer 3 en 4 in versie 6 van deze browser weer is opgedoken. Ook bepaalde versies van Mozilla (tot en met 1.6), Mozilla Firefox (tot en met 0.8), Netscape (6.x en 7.x), Opera, Safari en Konqueror bevatten de bug in kwestie. Indien er twee browservensters openstaan, in de ene een site met frames en in de andere een site met een link naar een 'slechte' site, kunnen mensen met minder goede bedoelingen ervoor zorgen dat die site geopend wordt in een van de frames van het andere browservenster. Op die manier kan de gebruiker op het verkeerde spoor gezet worden en ten onrechte denken dat de in het frame geopende 'slechte' website deel uitmaakt van de gehele website (het zogenaamde spoofing).

Bug stampen (klein) Vooral wanneer de website met frames een door de gebruiker vertrouwde website is, bijvoorbeeld Windows Update of sites van banken, kan deze bug gevaarlijk zijn. Voorlopig zijn er nog geen patches ter beschikking gesteld; Secunia raadt dan ook aan voorzichtig te zijn of over te stappen naar een andere browser of een recentere versie ervan. Er is tevens een testpagina gemaakt waarop men kan natrekken of zijn of haar browser deze bug bevat.

Reacties (126)

WimB 1 juli 2004 18:43

Mozilla FireFox (0.x)

ALs ik met Firefox 0.9 probeer op de testpagina, dan merk ik dat deze geen last heeft van de bug.

voodooless @WimB • 1 juli 2004 18:49

Hier ook nergens last van met 0.9.1 (linux)

Konqueror doet het idd wel fout

Er staat ook idd:

The following browsers are not affected:
* Mozilla Firefox 0.9 for Windows
* Mozilla Firefox 0.9.1 for Windows
* Mozilla 1.7 for Windows
* Mozilla 1.7 for Linux

EdwinG @voodooless • 1 juli 2004 19:20

Ik draai hier met mozilla 1.7, onder linux (fedora), en bij mij werkt de bug helaas wel, getest met de link in het nieuwsbericht.

[edit]
Ik had het eerst getest met het openen in een nieuw scherm.
Door tab-bladen te gebruiken heeft de bug echter geen effect meer.

Verwijderd @EdwinG • 1 juli 2004 19:51

Hier mozilla 1.7 onder windows en ik deel ook in de klappen

Heb ook dezelfde bevinding gedaan ivm de tabs

10011 @EdwinG • 1 juli 2004 20:52

Ik draai hier mozilla 1.7 op slackware 10.0 en heb geen
last van de bug.

Verwijderd @EdwinG • 1 juli 2004 22:38

mijn mozilla 1.7 op linux heb de fout ook

Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.7) Gecko/20040609

gelukkig gebruik ik firefox 0.9.1 als default browser

SpankmasterC @WimB • 1 juli 2004 18:48

Inderdaad, ik heb hetzelfde

Verwijderd @WimB • 2 juli 2004 08:50

En wat je wat het ironische daarvan is? Dat Firefox 0.9 een browser is met minder features dan alle andere browsers. De volgende versie van Firefox heeft ook deze "bug".

ycode @WimB • 1 juli 2004 20:18

Vreemd, want ik gebruik 0.9.1 op windows hier gaat ie dus wel de fout in...

Lama.. ik zit met m'n neus te kijken, 0.9.1 is dus wel goed!

Gisae @WimB • 2 juli 2004 10:52

Ik draai hier Firebird 0.7, ook wel bekend als de voorloper van firefox. Ik heb de test meerdere keren uitgevoerd maar ik krijg het niet voor elkaar om de fout te laten zien...
Misschien ligt het aan de tab extention die ik gebruik.
Firebird bevalt me beter dan Firefox, dus upgraden zit er voor mij voorlopig niet in

CumpsD 1 juli 2004 19:02

IE 6.0 op windows 2003 -> Geen problemen hierzo..

misschien wat met security settings te maken ook?

edit: ga bij security settings, en zet 'Navigate sub-frames accros different domains' op prompt of disable en het is in orde

Mars Warrior @CumpsD • 1 juli 2004 20:49

Precies!

Het is dan ook in mijn ogen geen bug, maar domweg een instelling. Dit verklaart dan ook tevens de wisselende ervaringen met dezelfde browser (in ieder geval met IE): deze en gene heeft deze setting dus anders staan

Verwijderd @Mars Warrior • 2 juli 2004 00:10

nou mijn IE heeft er idd geen last meer van (winXP)
ook al gebruik ik toch firefox
ik wilde het toch even weten...

Verwijderd 1 juli 2004 18:44

Secunia raadt dan ook aan voorzichtig te zijn of over te stappen naar een andere browser of een recentere versie ervan.

Zal allicht nog moeilijk gaan als zoveel browsers/versies er last van hebben.

Moeten we nu allemaal IE 2.0 downloaden?

wica @Verwijderd • 1 juli 2004 19:01

Nee, hoor lynx

Room42 @Verwijderd • 1 juli 2004 19:47

Let wel:

The following browsers are not affected:
* Mozilla Firefox 0.9 for Windows
* Mozilla Firefox 0.9.1 for Windows
* Mozilla 1.7 for Windows
* Mozilla 1.7 for Linux

Verwijderd 1 juli 2004 18:45

kijk daar worden al die lui wel even stil van, die bij elke fout in IE roepen dat mozilla, opera en linux (bv konqerer) veel veiliger zijn. Afgezien daarvan een kwalijke zaak,. wederom!

PatMan @Verwijderd • 2 juli 2004 00:22

kijk daar worden al die lui wel even stil van, die bij elke fout in IE roepen dat mozilla, opera en linux (bv konqerer) veel veiliger zijn.

Oh, dus als er een gezamenlijke beveiligingsfout wordt gevonden, maakt dat het grotere aantal beveiligingsfouten (153 sinds 18 april 2001, dat is bijna iedere week één!) in IE minder erg?

Het is niet voor niets dat de Waarschuwingsdienst van het Ministerie van EZ en het CERT adviseren om geen gebruik meer te maken van IE!

Ieder programma heeft last van beveiligingslekken en andere fouten, maar IE spant werkelijk waar de kroon.

killswitch @PatMan • 2 juli 2004 01:02

Oh, dus als er een gezamenlijke beveiligingsfout wordt gevonden, maakt dat het grotere aantal beveiligingsfouten (153 sinds 18 april 2001, dat is bijna iedere week één!) in IE minder erg?

ben ik toch benieuw wat voor browser ze bij dit en andere ministeries gebruiken

MAZZA @Verwijderd • 1 juli 2004 18:47

Ware het niet dat het bij Mozilla niet werkt/gefixt is

Verwijderd @Verwijderd • 1 juli 2004 23:59

kijk daar worden al die lui wel even stil van, die bij elke fout in IE roepen dat mozilla, opera en linux (bv konqerer) veel veiliger zijn. Afgezien daarvan een kwalijke zaak,. wederom!

Dus jij ziet deze fout die je eigenlijk geen bug kunt noemen als het bewijs dat IE net zo veilig is als mozilla, omdat zowel IE als mozilla deze bug hebben? Rare redenering!

Daarbij negeer je de vele ernstige beveiligingslekken in nog steeds in IE zitten, maar die Microsoft niet fixt. De virussen die die lekken misbruiken en die zich via websites verspreiden negeer je dus ook maar?

Ik weet dat deze reactie onterecht naar troll gaat omdat 2/3 van de tweakers hier zo achterlijk is om IE te gebruiken, en zich persoonlijk beledigd zal voelen, maar dom is het wel om momenteel IE te gebruiken.

Dat leken op het gebied van internetsurfen nog steeds internet explorer gebruiken is begrijpelijk, ze weten niet beter. Maar dat tweakers IE gebruiken is werkelijk ongelovelijk.

Zelf microsoft zegt dat je de beveiliging op maximum moet zetten voor untrusted sites. Dat betekent dus voor alle sites omdat er zo'n virus ronddwaalt. Geen activeX en javascript dus.

Gezien het veiligheidsrisico is het dwaas om met Internet Explorer te surfen. Een beter woord is er imho niet voor. Elke website is een mogelijke bedreiging.

Verwijderd @Verwijderd • 1 juli 2004 18:51

Ik gebruik avant browser (gebaseerd op ie), maar zie geen content van de secunia-website in een frame van de msdn-library-pagina. Geen last van dus.

brammus @Verwijderd • 1 juli 2004 19:12

Idd, Met MyIE2 (laatste) werkt de bug ook niet

Waarschijnlijk kan die bug niet overweg met tabs??

Overigens met IE6 op XP deed de bug het weer wel.

Hoe dan ook, een tabbed shell voor over IE lijkt de bug ook teniet te doen (mits je geen vensters buiten je app opent)...

Koffie @brammus • 1 juli 2004 19:58

Ik gebruik "Crazy Browser" een soortgelijke shell over IE heen, maar dan ook tabjes.
Hierin doet deze 'bug' het ook gewoon.
Zal dus niet zozeer 'zomaar' zijn dat het bij een tab-based IE niet werkt

McBoom @Verwijderd • 1 juli 2004 18:52

Mijn IE (6.0) heeft dus wel last van die bug, terwijl Firefox 0.9.1 er geen last van heeft....

DieterDHoker 1 juli 2004 18:52

Lijkt mij veel heisa om niets, dat is gewoon de link target die je de name van die frame geeft, dit is ook wenselijk in veel gevallen, bv. ene site met ene popup window die dat popup-window vanuit de site zelf wil doen veranderen. (Bv. een reek thumbnails, waar je op kunt klikken en de groote versie telkens in hetzelfde popupvenster terrechtkomt)
en ik zie niet echt goed in hoe zoiets misbruikt kan worden. De "hacker" moet zeker weten dat die site waa rhij zijn gespoofde frame in wil openen wel degelijk openstaat, anders krijg je gewoon een nieuw venster met daar de gespoofte frame in geopend, lijkt mij een vrij onwaarschijnlijek gebneurtenis ?

NMe @DieterDHoker • 1 juli 2004 19:59

Dat is allemaal heel simpel te automatiseren. Link maken naar een pagina van jezelf die een nieuw venster van bijv. de Rabobank opent, en, zeg 10 sec later, in het frame een eigen, gespoofte pagina openen. Is 10 seconden werk om te maken, en levert je waarschijnlijk snel gegevens op van creditcards en dergelijke...

DieterDHoker @NMe • 1 juli 2004 23:18

Dus jij denkt dat als iemand op een pagina komt waar opeens die opeens ongevraagd de rabobank-site doet popuppen, die persoon daar zomaar lustig op gaat inloggen en vertrouwelijke informatie invullen?

TheOneLLama @DieterDHoker • 2 juli 2004 00:30

Stuur bv een email naar iemand met een link naar een pagina, die geeft een gewone link naar rabobank.nl. Ondertussen activeerd die site een javascriptje ofzo, wat na een bepaalde tijd een neppagina in een frame van de rabobank pagina plaats.

gatlarf 1 juli 2004 19:23

Damn, ik dacht dat dit een feature was en had dit geïmplementeerd in een monitoring tool die ik gemaakt heb. Back to the drawingboard...

Verwijderd @gatlarf • 1 juli 2004 19:33

Het is op zich ook gewoon een feature, maar dan eigenlijk niet van een van die browsers maar van w3c's eigen Document Object Model. Dit is een definitie voor de structurering van content en maakt het mogelijk om bijvoorbeeld de content van een frame of een div te wijzigen zonder de rest van de pagina te veranderen.

Wat wel apart is, is dat in de implementatie (de browsers) van deze feature dus blijkbaar geen onderscheid maakt in de domains waarin de verschillende objecten hun eigenschappen kunnen uitwisselen. Een beveiliging hiervoor is volgens mij vrij lastig, aangezien het geen ongewone feature is en ook vrij veel gebruikt wordt (feitelijk iedere active content site). Door een domeingrens te stellen lijkt het mij dat bijv frames/divs met ad's van andere domeinen ook wel eens de dupe zouden kunnen worden...... Hmmmm

jp @Verwijderd • 2 juli 2004 01:17

Als ads van derdern in een los frame geblocked worden...... where's the problem?

terabyte @gatlarf • 1 juli 2004 19:27

"It's not a bug, it's a feature!"

Dat deze bug in zoveel browsers zit zou wellicht ook kunnen betekenen dat het ooit bedacht is als feature... je weet maar nooit.
En dan 6 jaar later zijn er andere inzichten over features en vooral over veiligheid en is dit niet meer een feature, maar een bug...

kamerplant @gatlarf • 1 juli 2004 19:30

Dan zit je leuk IE-only websites te maken, aangezien de recente (maar ook oudere) versiesvan Mozilla/Firefox en Opera hier geen last van hebben (zie bovenstaande replys).
Geen goede zaak dusch

Wel grappig, een IE-only website omdat andere browsers niet dezelfde bugs hebben

shuogg 1 juli 2004 18:50

Nergens last van met FireFox 0.9 onder Win XP

Dus overstappen van IE op Mozilla helpt wel degelijk metalsax

ycode @shuogg • 1 juli 2004 20:20

Nou, met FireFox 0.9.1 op windows xp heb ik er wel degelijk last van...

Verwijderd @shuogg • 2 juli 2004 00:11

mmmm...hiero Firefox 0.9 op Windows XP...
en ik heb er ook last van

overigens NIET als ik TABs gebruik om de Microsoft pagina te openen....

Update: zojuist 0.9.1 geinstalleerd en jawel hoor:

precies hetzelfde resultaat: er wordt 'keurig' een pagina geinjecteerd in het frame op de openstaande Microsoft-pagina...

de moraal van het verhaal: gebruik TABs om een nieuwe pagina te openen

flab007 @Verwijderd • 2 juli 2004 10:08

sorry hoor jongens maar ik heb de boel getest in firefox 0.9.1 en er zijn geen problemen. Ik had in eerste instantie ook Mozilla 1.6 nog draaien. Die had WEL het probleem. Deze browser heb ik vervolgens geupgrade naar Mozilla 1.7 en daarna was er GEEN probleem meer. Duss:

Firefox 0.9.1: geen probleem
Mozilla 1.6: wel een probleem
Mozilla 1.7: geen probleem

Oftewel, dit is niet afwijkend van wat Secunia stelt!

Verwijderd @flab007 • 2 juli 2004 10:31

Mozilla 1.7b en wel degelijk problemen.

Reinier @flab007 • 2 juli 2004 17:52

Ik heb de "fout" ook, in Firefox 0.9.1. Dus sorry hoor jongens maar ik heb de boel getest in firefox 0.9.1 en er zijn geen problemen klopt niet. Het hangt zoals gezegd af van het in een tab danwel in een nieuw window openen van de Microsoft pagina.

Proxy 1 juli 2004 18:52

Wel leuk om te zien dat het niet bij iedereen werkt. Bij mij werkt het juist niet in IE, maar wel in Opera en Firefox, echter, alleen onder Windows XP. Onder Windows 98 werkt het wel met IE, maar niet met Opera.

Mentalist 1 juli 2004 20:37

Zeg me niet dat ze daar dan nu achterkomen, want dit verschijnsel zag ik zelf ook al jaren terug toen ik met HTML ging prutsen.

Met een beetje uitleg erbij heb ik zelf ook een "tester" gemaakt : http://w3irdn3rd.no-ip.org/bug/ .

Kan me er niet echt druk om maken. Het valt behoorlijk op als een pagina in een ander venster opeens iets begint in te laden

[edit]
Ik heb er ook even een example bij gedaan hoe je dit dus "leuk" kan misbruiken

http://w3irdn3rd.no-ip.org/bug/nasty/

Rhapsody

1 juli 2004 18:42

Is wel erg vreemd, dat deze fout in zowat elke browser zit......

Ik bedoelde dus hetgeen Beaves dus uitstekend verwoord.

FastBunny @Rhapsody • 1 juli 2004 18:51

Is het niet zo dat IE uit de Mosaic browser gebouwd is en dat dat ook de brom is geweest voor Netscape. En Netscape en Mozilla/Firebird gebruiken weer dezelfde enige die doorontwikkeld is vanuit Netscape 4.x

Valium

@FastBunny • 1 juli 2004 19:11

Nee. Dit is geen bug in de browser, maar een feature van HTML die misbruikt kan worden. Verder is frame-support door netscape ontwikkeld. Dus het komt ook niet door de gezamenlijke codebase.

In HTML is het gewoon mogelijk om frames een naampje te geven. Als je dan een link maakt met een "target" erin, wordt de link geopend in het frame met die target-naam. Helaas is het moeilijk te zien of verschillende vensters bij elkaar horen of niet, waardoor deze "bug" die in mijn ogen dus geen bug is van de browser, maar van slecht gemaakte websites.

Sendy @Valium • 1 juli 2004 19:49

Het is eigenlijk een bug (of feature) in frames. Nu was ik daar toch al niet zo dol op, maar dit is een goede reden om ze zelf _echt_ nooit te gebruiken.

Verwijderd @Valium • 1 juli 2004 21:30

Indien venster 2 door venster 1 is geopend dan mag dat. Is venster 2 echter door de gebruiker zelf geopend dan mag dat niet.

Dat zou dus niet zoveel uitmaken, lees maar waarom:

Exploitation can easily be made "automatic". However, since this example only serves as a test to give users an understanding of how it works, we have chosen not to do so.

Maargoed, dit is dus weer een reden waarom je geen frames moet gebruiken op een website. Alles dat je met frames kunt bereiken kan je ook prima met de juiste XHTML, CSS, Caching en eventueel wat server-side scripting bereiken.

Ik heb zelf ook wel eens gemerkt dat het per ongeluk gebeurd. Ga maar eens na hoeveel frames er niet main of top heten! Ik vind wel dat hier een patch aan gewijd mag worden, zodat frames niet vanaf een ander domein mogen worden veranderd.

llevering @Valium • 1 juli 2004 19:23

Het klopt dat het moeilijk is om te zien of het een bug is of een feature, in principe was het vroeger bij mijn weten zo geregeld:
Je hebt browser venster 1, daarin wordt een link aan geklikt die in browser venster 2 een frame wil wijzigen. Indien venster 2 door venster 1 is geopend dan mag dat. Is venster 2 echter door de gebruiker zelf geopend dan mag dat niet.

Duingras

@Valium • 1 juli 2004 23:16

De feature om een frame in een ander scherm te kunnen vervangen vanuit bijvoorbeeld een popup is zeer nuttig en ik hoop dat die feature dan ook niet vanuit veiligheidsoogpunt zal worden verwijderd of iets dergelijks.

Het probleem zit erin dat je in javascript de namen van frames uit andere schermen kunt opvragen. Daardoor kan een vreemde site weten welke frames (met welke namen) het moet vervangen.

Verwijderd @FastBunny • 1 juli 2004 19:22

Hadden ze in die tijd al iframes ?

Verwijderd @FastBunny • 2 juli 2004 11:49

Het is wel zo dat MSIE gebaseerd is op Mosaic, kijk maar in de about box..

vso @Rhapsody • 1 juli 2004 18:47

het is niet zo vreemd. grote lappen source-code (meer dan 100kb text files) is extreem moeilijk zeker als je een team van progammeurs hebt.

hiervoor zijn wel oplossingen. (o.a bugtesters+hunters en Code Repositories) toch is het mogelijk.

@ beavis
oke dat Mozilla oud is en de basis is, echter waarom hebben zoveel verschillende dan de fout ?

catfish @vso • 1 juli 2004 19:48

grote lappen source-code van dergelijke progs zijn echt wel dikke MB\\\\\\\'s groot, dan spreekt men niet meer van 100kb hoor

StefSybo @catfish • 1 juli 2004 20:50

Hij bedoelt meer dan 100 kb per bestand, de source van een groot programma is altijd over een heleboel bestanden verdeeld en 100 kb is al best veel.

Beaves @vso • 1 juli 2004 18:52

Het is ook niet vreemd dat er bugs in programma's zitten, waar gewerkt worden, worden fouten gemaakt en dus ook in programma's.

Maar wat raar is, is dat deze bug in bijna elke browser terug te vinden is, dat is vreemd. Het kan zijn dat de bug al "eeuwen" oud is en in Mosaic zat (een van de eerste browsers en waar onder andere IE op gebasseerd is). Dat kan een verklaring zijn.

Standeman @Beaves • 2 juli 2004 07:56

een site met frames

Kweet het niet helemaal zeker, maar volgens mij ondersteunde Mosaic in die tijd nog geen frames. Volgens mij werden frames pas gesupport vanaf IE 3 (als mijn geheugen niet in de steek laat)

arjankoole @Verwijderd • 2 juli 2004 06:39

dat zou betekenen dat M$ de code van mosiac heeft gejat en die was volgens mij des tijds GPL....

nee, MS heeft de code van Mosaic gekocht destijds, om zelf een browser te kunnen bouwen. In de overeenkomst zaten wel wat dingen waar MS niet aan heeft voldaan, zoals het vrijgeven van de sourcecode van iedere komende versie van IE, maar goed.

Netscape heeft wellicht ooit code geleend / gekregen van Mosaic, het is niet uncommon voor programeurs om code te delen zoals sommige mensen mp3's sharen.

Op dit item kan niet meer gereageerd worden.

Zes jaar oude fout maakt comeback in IE6, Mozilla en Opera

Lees meer

Reacties (126)

Sorteer op:

Weergave: