Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 85 reacties
Bron: Secunia

De veiligheidswebsite Secunia meldt dat er twee nieuwe veiligheidslekken ontdekt zijn in verschillende internetbrowsers. In de browsers Konqueror, Mozilla en Firefox, Opera, Netscape, Avant, Maxthon en Safari kunnen websites in een inactieve tab namelijk dialoogvenster openen, zodat het lijkt alsof dit venster van de pagina in de actieve tab komt. In Mozilla en Firefox, Netscape Avant en Maxthon kunnen bovendien ook invulvelden van websites in een inactieve tab de focus krijgen, zodat een gebruiker niet doorheeft dat hij gevoelige gegevens invult op een onbetrouwbare website. Om deze lekken succesvol te kunnen misbruiken, moet de gebruiker in beide gevallen op een onbetrouwbare website een link aanklikken naar de bonafide website en deze in een nieuwe tab openen.

Tweakers.net in Netscape 6
Moderatie-faq Wijzig weergave

Reacties (85)

Word nu echt elke bug in een browser aangemerkt als veiligheidslek? Allicht valt hier op een of andere manier wel misbruik van te maken maar de daarvoor benodigde omstandigheden zijn wel heel erg lab-achtig
Firefox, Nightly Build 21-10-2004

Fixed: 265055 - Security hole: Textarea.select() can steal focus from other tabs.

Meer info:
http://www.squarefree.com/burningedge/

Download (Zie bovenstaande link voor andere OS'n):
http://ftp.mozilla.org/pub/mozilla.org/firefox/nightly/2004-10-21-07-0 .9/firefox-1.0.en-US.win32.installer.exe
Bug is nog niet gefixed. Lukt ook niet in de FF1.0 release. Kijk maar eens op de mozilla discussie pagina over dit onderwerp.
Is dus wel degelijk gefixed, maar met een workaround. focus() en select() calls worden nu uit inactieve tabs genegeerd. De fix waar nu aan wordt gewerkt is het niet mogelijk maken van het stelen van de focus van de actieve tab.
Sorry voor de ontdekkers, maar ik gebruik Opera 7.54 en de spoof werkt bij mij niet

Als ik op de link klik opent hij de nieuwe pagina in een nieuw venster en krijg ik de pop-up pas als ik weer terug ga naar de originele pagina....en dan zie je dat ie bij die pagina hoord.

Ook als ik het aanklik en zeg, open in new window, dat krijg ik de pop-up maar ook dan staat de originele pagina op de achtergrond en niet de gelinkte site.

Dus ik kan eerlijk zeggen dat Opera 7.54 er veilig voor is.....gelukkig maar
Nog erger, in de preview van Opera 7.60 (linkje via Tweakers) lukt het ook niet. De vraag is dus met welke versie van Opera loop je nog risico dan, want dat hebben deze gasten niet gemeld?

Of is dit alleen enkelt een scare tactic tegen non-IE browsers?
Bij mij werkt het ook helemaal niet met Opera 7.54.

Je kan veel zeggen, maar bij Opera worden de bugs zelfs opgelost voor ze zijn aangekondigd :D.
Ik heb Opera 7.54, en hier werkt 'ie wel (rechtsklik op de link, openen in nieuwe pagina (tab), dan krijg ik een wit scherm, even later een popupje waar ik wat in moet typen, en het resultaat daarvan komt in een textarea op de 1e site te staan...

Deze bug is er trouwens ook in java versie, java applets stelen vaak zelfs zonder dat de programmeur zich daarvan bewust is focus.. heb deze bug al anderhalve maand naar opera gestuurd, nooit iets van teruggehoord... blijkbaar fixen ze alleen maar bugs als ze gepubliceerd worden...

(btw, ik gebruik opera 7.54 voor linux met de java player die bij suse meegeleverd zat)

[EDIT]Da's grappig... nu werkt 'ie opeens niet meer... :)
Misschien download opera stiekum updates? :7
Ik gebruik nog Opera 7.51, daar zat de bug nog wel in, dus Opera heeft 'm denk ik pas zelf ontdekt.

Wederom bonuspunten voor Opera dus :)
Ik gebruik dan bijna alleen Firfefox, maar in Opera 7.54 gaat de eerste gewoon fout. De tweede (die ook in de Firefox nightlies al is opgelost en soms erg irritant was) komt niet in Opera voor, maar dat staat ook in het nieuwsbericht.

Ik heb wel gehoord dat de eerste in Opera 7.60 wel opgelost zou zijn. Zullen ze wel niet vermeld hebben omdat er alleen nog maar testversies zijn.
hoe zit het met slimbrowser? da's een browser die IE als core gebruikt met een tabbed interface...
Maxthon ook, dus grote kans dat die fout voor Slimbrowser ook opgaat.
myie2 heeft nergens last van gelukkig :)
Maxthon = nieuwe versie myIE2 .. lijkt me sterk dat de er geen last van zouden hebben.

Het lijkt me dat elke schil om IE heen die met tabbed browsing werkt dit probleem kent.

Maar goed, je kunt het zelf testen! Ik deed de test overigens fout, opende de link naar citibank en klikte vervolgens terug naar de tab van de test pagina en het invullen van een dialoog lijkt dan niks bijzonders.

Dus: open de link naar citibank in een nieuwe, even wachten dan krijg je een dialoogje, invullen, Enter, dan terug naar de tab van de testpagina.

Uiteindelijk krijg ik hier zelf geen problemen me omdat ik deze dialogen zonder uitzondering ongelezen weg klik.
Ja, maar dan is het al te laat.

edit:
Shit, het is nog vroeg. Dit was een reactie op bbr
Djees omgekeerde wereld...

MS Internet Explorer als een van de weinige die geen last hiervan heeft...
Kijk en vergelijk:

http://secunia.com/advisories/12889/
The two vulnerabilities in combination with an inappropriate behaviour where the ActiveX Data Object (ADO) model can write arbitrary files can be exploited to compromise a user's system. This has been confirmed on a fully patched system with Internet Explorer 6.0 and Microsoft Windows XP SP2.
http://secunia.com/advisories/12706/
The vendor reports that the vulnerability has been fixed in KDE 3.3.1.
sorry maar een en ander komt niet voor in Microsoft software .... Waarom zou Microsoft hier dan iets moeten fixen ?

Het zijn de makers van avantbrowser, maxthon, .... die hier in actie moeten schieten
In het zelfde artikel van Secunia worden ook 2 nieuwe lekken, die compleet los staan van de boven genoemde lekker, in IE gemeld. dus MS moet wel in actie komen en het fixen.
IE heeft ook geen tabbed browsing. :)
Als Avant er last van heeft dan is dat dus Internet Explorer. Avant Browser is immers een schil om Internet Explorer heen. Het gaat dus blijkbaar om het tabbed browser deel alleen.
Als ik een component van jou uitbreidt, en er zit door mijn toedoen een fout in de nieuwe component, zit er dan een fout in de originele component?
en er zit door mijn toedoen een fout in de nieuwe component, zit er dan een fout in de originele component?
Hoeft niet, kan wel: als in het origineel een fout zit, waardoor de door jouw toegevoegde component problemen veroorzaakt, dan het dus wel degelijk aan het origineel liggen...
Maar het is over het algemeen logischer om eerst de toevoegingen te bekijken of die de oorzaak zijn van de fouten.
Maar je kan naturrlijk niet het origineel verantwoordelijk houden voor iets wat alleen een probleem is door een toevoeging erop.
Nee idd.
de programmeurs van IE zullen deze fout niet ontdekt hebben doordat ze bij normaal gebruik van het programma daar geen beroep op doen of weten dat als je tabbed browsing zou gebruiken dat die fout ontstaat, maar geen aandacht aan schenken omdat die functie toch niet geïmplementeerd is.
@Da Burp
en dat is nu dus maar goed ook...

maarja lullig dat het kan de beste remedie tegen deze onzin is eigenlijk gewoon niet internetten
Werkt ook niet met tabs he ;)
[edit]
'k had jou reactie nog niet gezien Da Burp!
Ik denk dat je deze "fout" eerder kunt vergelijken met phishing: elke e-mailclient waarmee je links kan openen is daar vatbaar voor. Dat Microsofts IE er als één van de enigen geen last van heeft bewijst alleen maar dat die browser hopeloos verouderd is (dus *niet* innovatief zoals MS de laatste tijd probeert te compenseren door met marketing te zeggen dat ze dat wel zouden zijn ;-) ).

nuance: Natuurlijk zijn er ook moderne browsers die geen tabbed browsing hebben omdat ze bedoelt zijn voor gebruik op PDA,'s, tragere hardware e.d. (e.g. Dillo).
Aha, je moet de link wel openen als nieuwe tab, anders werkt het niet.
Dus je moet een totaal andere manier van werken hebben dan dat normaal is.
Lijkt me niet zo'n probleem, en nogal vergezocht.
Mensen die dat doen, hebben meer verstand dan de gemiddelde jan met de pet, en die klikken niet zomaar op OK, of vullen ergens zomaar wat in.

Zo'n beetje als "Ik neem de voetgangerstunnel", en dan zegt iemand anders "Als je over de snelweg heen gaat, is het mogelijk dat je aangereden wordt."
typisch een reactie van een IE gebruiker die nog nooit met tabs heb gewerkt. waarom zou het 'anders dan normaal' zijn om links in een nieuwe tab te openen? sterker nog, ik open bijna de helft van de links in een nieuwe tab tegenwoordig, vooral als ik weet dat ik de vorige site nog nodig ga hebben. persoonlijk vind ik die tabs geweldig (vandaard blijkbaar dat bijna alle browsers dat tegenwoordig hebben).
Fantastisch! Huh hoezo fantastisch? Ik gebruik Mozilla Firefox 1.0P, voor al die mozilla firefox gebruiken ga in je browser naar: Tools->klik links op advanced-> scroll naar optie software update-> en klik op "check now" voor software updates en installeer deze violla :)
eh... maar er viel niets te updaten volgens "Check now".
en de bug werkt nog steeds.
It's not a bug, it's a feature.

Er zal altijd wel wat te phishen blijven :D met die timer kan je dit met elke willekeurige browser doen.
Ja ik heb ook het gevoel dat het een gevolg is van de ontwerp keuze om tabs die niet op de voorgrond staan, toch een Javascript 'actie' uit te laten voeren. Niet zo zeer een bug, eerder een keuze bij het ontwerp.

Tabbed browsing, handig als het is, heeft geen plaats in Javascript. Het concept tab bestaat m.i. niet in de DOM standaard. Ik neem aan dat het als window beschouwd kan worden, maar dit bericht toont aan dat de meeste browsers dat soms niet zo zien, want de tab krijgt de focus niet terug.

Misschien kunnen ze beslissen dat eventuele timer (loop) pauzeert als een tab geen focus heeft.
uhm, dus dan zou je 1 venster open hebben, maar eigelijk in een andere tab / venster zitten te typen?
zou je dat dan niet zien zodra er geen text verschijnt in het veld dat je verwacht? :?
test het zelf maar met de link in het artikel.

Je typt in een veld in een andere tab... je klikt op ok.. maar de tekst die je net in dat ene veld hebt ingevuld, staat dan in de andere tab ingevuld. Dus heeft niks met goed kijken verder te maken, het lijkt alsof dat veld bij tab2 hoort erwijl bij de submit de gegeven sin tab1 komen te staan
Toch kan ik me niet voorstellen hoe hier makkelijk misbruik van gemaakt zou kunnen worden.

Eerst moet je vanuit een onbetrouwbare website een link als nieuwe tab openen, daarvoor zouden dus instructies moeten staan op de onbetrouwbare website zoals bij het voorbeeld.

Vervolgens krijg je al voordat je naar de nieuwe tab gaat (bij mij iig. wel, firefox 1.0) de pop-up met de titel "[JavaScript Application]" waarin je dus verzocht zou kunnen worden persoonlijke info in te voeren.

Dan ben je dus wel een enorme kneus als je daarin trapt. Die zijn er natuurlijk wel, maar die zijn vast ook wel op makkelijkere manieren te misbruiken dan dit. Bovendien zullen die mensen denk ik niet vaak gebruik maken van tabbed browsing als ze uberhaupt al gebruik maken van andere browsers dan IE. Ik zie dit dus niet als ernstige lek, maar het is zeker wel een lelijk schoonheidsfoutje die snel gefixed zou mogen worden.
het is zeker wel een lelijk schoonheidsfoutje die snel gefixed zou mogen worden
Misschien een teleurstelling, maar deze bug 124750 (en gerelateerde bugs), is al bekend bij Mozilla sinds begin 2002. Slecht voor Mozilla/Firefox dat dit zo lang onopgelost is gebleven.
Hopelijk is de extra aandacht een stimulans om het probleem op te lossen.
Ik weet niet precies hoe je dat voor elkaar krijgt, maar wanneer ik de link in het bericht aanklik en vervolgens op elke willekeurige pagina, waaronder het "reageer"-pagina, waar ik nu in tik, krijg ik gewoon geen focus en zie ik dus ook helemaal niets gebeuren. Ook een pulldown menu aanklikken is onmogelijk, dus ik denk dat het niet bij elke versie mogelijk is. (Ik gebruik FireFox 1.0 Preview)
Als je text in typed dan verwacht je neem ik aan dat er letters verschijnen, en die komen nu niet waar je typed maar in een tab dat je niet kan zien.
Tenzij je tabbladen transparant kan maken en het input veld maskeren met die van de foute site lijkt mij dat dit alleen maar boze klanten oplevert omdat "het tekstveld het niet doet", verder niets.

Trouwens, deze "feature" blokeert ook input vanuit een nieuw venster. 'k Moest eerst de tab van secunia sluiten voor ik iets in deze reactie kon schrijven. :o
Iedereen altijd op de kap van MS zitten als er iets verkeerd loopt en dit is maar normaal ook. Maar als de concurentie (of niet echt concurentie) eens in de fout gaat zal daar ook zoveel media aandacht voor zijn als een fout in MS software. een fout is gewoon een fout en is even erg als dit in MS software is of als in andere software.
fijn dat er iemand is die er zo op reageerd vind dit totaal geen falme en ik ben het roerend met je eens. Altijd maar Flamen op Microsoft maar als er een geer wat fout is in andere Browsers OS`n dan is het opeens allemaal niet erg. vind dat wel zo belachelijk. dit was vorige keer ook zo toen Microsoft een ernstige fout had

Microsoft waarschuwt voor lekken en brengt patches uit

VInd dat langzamer hand een beetje zielig woren want iedereen gebruik zowat Windows. Als je zoveel commentaar hebt ga dan gewoon helemaal over op Linux en kap dan helemaal met Microosft producten.

mag het best als flame opvatten maar dit is gewoon mijn mening. en als ene mening als flame word opgevat vind ik het vrij zielig Imo :)
de meeste fouten in MS software houden in dat je zomaar code kan laten uitvoeren e.d, de fouten die in andere browsers gevonden worden zijn vaak stukken minder erg, met deze fout kan ik bijvoorbeeld niet jouw hele harde schijf controleren als jij FireFox gebruikt.
De fouten die in Opera/FireFox/etc voorkomen zijn vaak fouten in de trend van "goh, vervelend dat 'ie dat doet", terwijl IE fouten meer in de buurt komen van "ik kan je PC overnemen via mijn webpage!"

@loodgieter
Ik heb geen windows meer op mijn PC. Het is voor mij dus gerechtvaardigd om nu te gaan flamen over Microsoft?
Ik neem aan dat jij wel eens google gebruikt? da's linux! nu mag jij niet meer flamen op linux (als je dat al eens deed)
Kom op zeg! Gewoon niet flamen, wat je ook gebruikt. En dat dit nou eens voorkomt bij niet-IE is gewoon omdat het een bug is in een feature die IE niet heeft.
Als deze bug IE-only zou zijn zouden er ook reacties komen dat deze bug eigenlijk helemaal geen veiligheidslek is.
En wat betreft je link naar
Microsoft waarschuwt voor lekken en brengt patches uit
:
Ik schop iedere dag oude vrouwtjes, maar vandaag help ik er eentje met oversteken...

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True