Nederlanders vinden lekken in Internet Explorer en Google

De Nederlandse webontwikkelaar Jeffrey van der Stad meldt op zijn site dat hij een ernstig lek ontdekt heeft in Internet Explorer versie 6.0. Het gaat om een manier om een HTA (HTML Application) uit te voeren zonder daarvoor eerst toestemming te vragen. Zoals de naam doet vermoeden is een HTA een mengvorm van een normale webpagina en een programma, wat - in Microsofts eigen woorden - inhoudt dat 'HTAs acties uitvoeren die Internet Explorer nooit in een website zou toestaan'. Het laat dus niet te raden over wat kwaadwillende websites met deze kennis zouden kunnen doen: volledige controle over de computers van hun bezoekers krijgen. Microsoft is al op de hoogte gesteld van het probleem, maar heeft vooralsnog geen oplossing klaar. Wel lijkt het erop dat het bedrijf al eerder van het lek wist, aangezien het in een reactie aangeeft dat het al een oplossing in de volgende versie van de browser aan het brouwen was. Van der Stad houdt de details over zijn ontdekking geheim tot Microsoft er een oplossing voor heeft.

Google logo (klein) Ondertussen is er nog een andere Nederlander die een lek gevonden heeft, dit keer op Google.com. De 22-jarige internetondernemer Barry Pouwels vond een XSS (cross site scripting)-fout waarmee gebruikers de inhoud van hun cookie ontfutseld kan worden, zodat een eventuele Google/Gmail-account waarmee ze zijn ingelogd ook voor de hacker toegankelijk wordt. Met nog een aantal extra trucs zou zelfs het wachtwoord rechtstreeks uit het inlogformulier kunnen worden gevist. De potentiële slachtoffers moeten dan wel eerst op een speciaal gevormde link klikken. Pouwels heeft er een soort hobby van gemaakt om dit soort fouten te vinden, en heeft zo al een hoop verschillende 'klanten' gehad - waaronder ook Tweakers.net en Fok.nl. Niet iedereen reageert even blij op zijn vondsten, maar in Googles geval zegt hij te hopen op een snelle afhandeling - hoewel ze op dit moment nog niet gereageerd hebben op zijn e-mail.

IT-banen

Reacties (29)

Verwijderd 21 maart 2006 21:13

twee ernstige gaten, maar die van google is opvallend, daar was toch nooit een lek ontdekt? ik denk dat die dat niet leuk vinden. MS is het al gewend..

beeman @Verwijderd • 21 maart 2006 21:16

nieuws: Google dicht door 14-jarige gevonden Gmail-lek

Deze lek is deze maand in GMail gedicht, en er zijn nog wel meer geweest...

xaveriussmet 21 maart 2006 21:15

Als ze bij google nu eens iets als
if ($_SESSION['ip'] = $_SERVER['ip']) doen, werkt dat toch niet? Want dan zou jij hetzelfde ip moeten hebben als in de sessie van die cookie?

Verwijderd @xaveriussmet • 21 maart 2006 21:24

Ja man, super handig voor alle mensen in de USA met een kabel abbo he... want die hebben dus vaak een DHCP lease time van 1 uur, daarna heb je een ander ip. Merk je niet bij normaal surfen, is alleen dodelijk irritant voor downloaden.

Als ze dit in alle google sessie code inbouwen gaat het voor al die mensen dus mis. Elk uur opnieuw inloggen, zullen ze blij mee zijn.

nxt @Verwijderd • 21 maart 2006 21:59

Ja man, super handig voor alle mensen in de USA met een kabel abbo he... want die hebben dus vaak een DHCP lease time van 1 uur, daarna heb je een ander ip.

Als het goed is krijg je helemaal geen ander ip zolang je computer aanstaat.
Als je een DHCP lease hebt van 1 uur zal je computer na een half uur proberen om de lease te verlengen, en als dat faalt een kwartier later weer, enz...
Tenzij er serieuze netwerk problemen zijn of het een erg brakke DHCP server is zul je altijd je lease kunnen vernieuwen voordat ie verloopt zodat je hetzelfde ip adres behoud.

Spleasure @Verwijderd • 21 maart 2006 21:59

Een beetje goede DHCP implementatie vraagt voor het einde van dat uur een verlenging aan. Niet veel applicaties vinden het leuk als je opeens een ander IP hebt (applicaties zoals MSN etc.)

TRON

@xaveriussmet • 21 maart 2006 21:22

Als je in een netwerk zit, omzeil je dat probleem over het algemeen. In dit geval is het ook mogelijk om formulierinformatie naar derden te sturen. Wat dus behoorlijk ongewenst is

Verwijderd 21 maart 2006 21:59

Ik heb mijn site helemaal afgeschermd tegen XSS door overal elke dubbele punt --> : (varianten --> &#58 / %3A / :)
te vervangen door een punt komma --> ;

hierdoor is javascript binnen html/css tags uitvoeren onmogelijk.
En er kan een hoop: http://ha.ckers.org/xss.html

PrisonerOfPain @Verwijderd • 21 maart 2006 22:24

Hoe houd die oplossing XSS tegen?

De code die ik gebruik voor het testen op XSS op z'n meest basale niveau, ">, bevat geen : maar is wel een XSS. Zelfs code om een javascript alert met van de inhoud van een cookie weer te geven word niet tegengehouden.

Sterker nog, de manier die je gebruik is vrij eenvoudig te omzeilen door de dubbele punt tweemaal de urlencoden op 't moment dat je 'm nodig hebt.
alert(unescape("%253A")); bijvoorbeeld.

Verwijderd @PrisonerOfPain • 21 maart 2006 22:30

De alert en unescape functie kun je niet uitvoeren, omdat je daar al javascript voor nodig hebt..

Op mijn site, gastenboek service met 80.000 members, filter ik uiteraard ook de html tags(<>)..

Maar zodra ze al in de HTML zitten, bij bijv het plaatsen van een image d.m.v. Bulletin Board code:

[img]javascript:alert();[img]

dan is het enige wat bij voorbaat beschermd voor zover ik weet mijn oplossing..

Ik weet trouwens dat mijn oplossing geen nette oplossing is.. Maar (tot op heden) wel waterdicht.. Na heel veel xss-hack pogingen..

PrisonerOfPain @Verwijderd • 21 maart 2006 22:46

"><script>alert(unescape("%253A"))</script><div

Zeker weten?

Verwijderd @Verwijderd • 21 maart 2006 23:08

ja, HTML tekens <> worden al helemaal niet geparsed:)

Mr_EOS 21 maart 2006 22:42

Nederlanders vinden lekken:
Eindelijk eens een actie in IT-land waar we goed in zijn. Vechten tegen het water en dijken aanleggen. Dit geeft me een hoog Hans Brinkers gevoel.

Verwijderd 22 maart 2006 00:13

Jeffrey is vanavond op Radio 1 geweest:
Beluisteren:
http://cgi.omroep.nl/cgi-...s/radioonline/20060321.rm?start=00:34:45&end=00:39:55

weet niet of deze link werkt het is real audio van www.Radio-online.nl

mosymuis 21 maart 2006 21:56

maar in Googles geval zegt hij te hopen op een snelle afhandeling - hoewel ze op dit moment nog niet gereageerd hebben op zijn e-mail.

Ik ben benieuwd hoe en of Google zal reageren op zijn melding; veel bedrijven zijn daar zeer laks of zelfs agressief in. Een interessante discussie over het melden van security issues werd eerder gevoerd op GoT. Behoor je ze te melden? Hoe? Wat mag je ervan verwachten? Of had je de lekken in de eerste plaats niet mogen vinden/bespreken?

Persoonlijk heb ik ook wisselende ervaringen met het melden van beveiligingslekken. Sommige webmasters reageren boos of beledigd, sommigen niet of laks en andere websites gaan er sportief en dankbaar mee om. Enkel met de laatste aanpak bereik je het meest, imo. In het geval van Google zullen ze er maar beter volwassen mee omgaan en de negatieve publiciteit over het lek als gedaan beschouwen.

TRON

@mosymuis • 21 maart 2006 22:25

Laten we er maar vanuit gaan dat Google positief reageert op m'n melding. Ze willen geen gezichtsverlies leiden en voor zover ik weet heeft die jongen vvan 14 jaar onlangs ook geen problemen gehad, toch?

PrisonerOfPain @mosymuis • 21 maart 2006 22:07

Mijn ervaring is dat de omvang van een bedrijf omgekeerd evenredig is aan de reactie die je krijgt op security meldingen.

Hell! Alle lekken die ik tot op heden gemeld heb zijn niet afgehandeld.

Overigens, netjes van deze GoTter (TRON) om de lek te vinden en melden.

woutur @PrisonerOfPain • 21 maart 2006 22:29

Ach, om de Lek te vinden gebruikte hij waarschijnlijk Google Maps.

cavey @mosymuis • 21 maart 2006 22:23

eeuwen oude discussie op lijsten zoals bugtraq...

mijn ervaring met meldingen richting google (niet persoonlijk, maar gewoon wat ik op pik uit de diverse securityfocus lijsten), is dat google daar snel op reageert. Vergeet niet dat er nog een tijdzone verschil tussen zit.... hoop mensen vergeten dat, geef ze ff de kans om te reageren voor er gebitched gaat worden over het uitblijven van een insta-reactie.

Bij Microsoft mag je erover bitchen. Wat betreft dat lek in de HTA dingen..... volgens mij speelt dat al veel langer (en heeft firefox er ook eens last van gehad), maar wellicht dat dit een ander lek is. Lang leve het "nog niet vrijgeven van de gegevens tot microsoft reageert". zucht, bij die gasten helpt het alleen om meteen de POC vrij te geven

Verwijderd 21 maart 2006 21:18

Misschien moet je twee == tekens zetten, want anders ken je enkel een waarde toe en resulteert dit zoiezo in een "true"

ATS @Verwijderd • 21 maart 2006 21:55

Dat is afhankelijk van je taal waarin je je script schrijft natuurlijk... VB achtigen doen bijvoorbeeld slechts één =.

Olaf van der Spek @ATS • 21 maart 2006 22:13

En sinds wanneer heeft VB $_SERVER en $_SESSION?

Mickman 22 maart 2006 10:00

Wat is nou precies de bug m.b.t. HTA?

De bedoeling van HTA is juist dat je lokaal een HTML applicatie kan draaien. Waarom is dit opeens een bug?

Verwijderd @Mickman • 22 maart 2006 10:20

Omdat (zoals het artikel al vermeld) het mogelijk is een applicatie te starten zonder dat de gebruiker hiervan op de hoogte is. Zou jij daar blij mee zijn?

MMaster23 21 maart 2006 21:22

En nog vraag ik me iedere dag weer af waarom iedereen GMail zoooo geweldig vind. mijn hotmail accountje doet het al jaren en perfect.

Zal wel aan mij liggen. Tis net zoiets als Ipod, PSP en Xbox... allemaal hetzelfde

Seal64 @MMaster23 • 22 maart 2006 12:10

Omdat je GMail zonder een hoop gedoe ook via Mozilla Thunderbird kunt gebruiken, misschien? En omdat je daar tenminste nooit gezeik krijgt over een te volle inbox?

Valkske 21 maart 2006 21:51

Hebben die Nederlanders echt niets beters te doen dan naar lekken zoeken?

(heb nog nooit een -1 Flamebait gekregen, wil weten hoe dat voelt)

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (29)

Sorteer op:

Weergave: