Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 66 reacties
Bron: SecurityFocus

De meest recente versies van Internet Explorer en Firefox zijn vatbaar voor een kwetsbaarheid die de inhoud van bestanden op de harddrive aan een aanvaller zou kunnen openbaren. Die moet zijn slachtoffer echter op vrij vernuftige wijze bewerken.

typende handen Het probleem, waarvan de kern reeds vorig jaar werd ontdekt, is dat de focus op een element tussen de onKeyDown- en onKeyUp-events naar een ander element verplaatst kan worden. Als een aanvaller de focus naar een input-veld kan verleggen en die het control type 'file' meegeeft, kan hij een bestand van de harde schijf naar een server laten versturen. De aanvaller moet zijn slachtoffer echter wel zo ver krijgen om alle karakters van de bestandsnaam in te typen. Tikt die bijvoorbeeld 'C:\ is my boot drive. Incidentally, I like cheese' in, dan kan de aanvaller het bestand boot.ini lezen. Volgens ontdekker Michal Zalewski is dit weliswaar omslachtig, maar hij wijst erop dat gebruikgemaakt kan worden van zaken als captcha's en sites met tekstspelletjes om het probleem uit te buiten. De kwetsbaarheid maakt het bijvoorbeeld mogelijk om cookies te pikken uit de Temporary Internet Files-directory - de locatie daarvan is goed te voorspellen - zodat er op sites ingelogd kan worden onder het account van het slachtoffer.

Moderatie-faq Wijzig weergave

Reacties (66)

Weet je - als ik dit zo lees dan krijg ik echt het gevoel dat dit soort meldingen van security problemen best wel vergelijkbaar zijn met alarmistische berichten in bladen zoals Aktueel of de Prive.

KOM OP JONGENS!!

Wie gaat dit nou misbruiken, en wat een over-omslachtigheid is dit nou weer? Ja ok, het KAN, het is in theorie mogelijk, maar dit heeft helemaal geen echte praktische toepassing - hier - een of andere hacker met NIKS anders in zijn leven te doen gaat eens lekker achter zijn PC zitten en wachten tot dat iemand toevallig eens per dag een tekst intyped die na wat veel letters verwijderen en verplaatsten wellicht toevallig een bestand is dat je kan downloaden. En dan zal in 1/100 gevallen dat bestand iets belangrijks inhouden zoals een <De Wereld Is Gevaarlijk Modus> **CREDIT CARD GEGEVENS*** of je ***PIN CODE*** - oooh nou wat een succesvolle hacker, hij wordt vast heel rijk heel snel

Zijn jullie al bang? Come on! Ik zeg niet dat hier geen aandacht moet worden gegeven, maar sommige van deze Oh Nee Kijk Uit Internet Is Weer Gevaarlijk berichten zijn wel echt ERG overdreven...

Hoe groot is de kans nou dat iemand een bestand heeft All My Important Details.doc en iemand op een random website al dan niet met een suggestie besluit om
C:\ I Want You To Have All My Important Details And Documents gaat intypen en dan ook nog eens in een veld waar hij "plotseling" op is gaan komen te staan met zijn cursor... tja...
De grap is juist dat je NIET "plotseling" op een raar veld komt: via de JavaScript kan je steeds kortstondig (bij een keyboard event) de focus naar dit (verborgen) veld verplaatsen en vervolgens weer terugverplaatsen naar het "gewone" veld en daar het karakter dupliceren. Als je dit goed doet is het NIET zichtbaar. En zoals al opgemerkt is het d.m.v. een captcha niet zo moeilijk om iemand zonder argwaan een specifieke tekst te laten overtypen. Combineer dit met dat veel sites een session key in cookies stoppen betekent dit dus dat je op een goede manier accounts kunt kraken. Ik vind het persoonlijk juist wel een hele realistische manier om een hack te plegen...
Namen en default locaties van cookies zijn vrij constant. Daarmee kan je dus gewoon de input filteren met een beetje javascript. Laat iemand willekeurig welke tekst typen en er komen vanzelf wel een aantal karakters voor (met heel veel 'rommel' er tussen) om een c, een dubbele punt en een backward slash mogelijk te maken.

Zoals in het artikel al genoemd, captcha's, en spelletjes waarbij je tekst moet in typen (kruiswoordraadsels voor mijn part), en je bent er zo.
Wie gaat dit nou misbruiken, en wat een over-omslachtigheid is dit nou weer? Ja ok, het KAN, het is in theorie mogelijk, maar dit heeft helemaal geen echte praktische toepassing
Interessant genoeg lijkt je reactie enorm veel op de standaardreactie die veel bedrijven op dergelijke berichten geven.

Toegegeven, met alleen deze stap zul je inderdaad weinig mensen zo ver krijgen dat er echt iets mis gaat. De techniek is echter interessant, wellicht nieuw (voor mij wel in ieder geval), en het echte probleem ontstaat meestal wanneer iets te slimme mensen enkele van dit soort "dat probleem is louter theoretisch" gevallen weten te combineren naar iets dat opeens bizar praktisch blijkt te zijn....

Of om het maar eens te zeggen zoals een bekende hackersgroep het bracht op hun homepage:
"That vulnerability is completely theoretical." -- Microsoft
L0pht, Making the theoretical practical since 1992.
Het staat hierboven al omschreven, maar ik ga het even voor de leek uitleggen.

Webdoc, door die lap tekst die jij net geschreven hebt zou T.net (waarschijnlijk, ik ben de letters niet gaan tellen) je marktplaats, google, ebay, etc cookies hebben kunnen ontvangen. Gecombineerd met een niet optimale beveiliging (ik zelf 'als') van genoemde websites heeft T.net nu effectief jouw accounts.

Nu kan je T.net wel vertrouwen ;) maar basicly loop je dus een risico door zulke lappen tekst te typen op een website.
Hier - ik maak het nog makkelijker voor je
C:\ D:\ M:\ S:\ X:\ Y:\

Ik daag je bij deze uit om mij uit te leggen wat voor risico ik volgens jou zou lopen door het typen van zulke lappen tekst. Surely als ik nu alle drive letters op mijn PC heb getyped kan jij nu makkelijk pretty much alle bestanden van die drives uitlezen!? Als jij mij een systeem kan bouwen waarbij je een TEXT AREA als een file-input veld kan gebruiken waarbij je OOK NOG op een bruikbare manier de content zo kan bewerken dat je bestanden kan downloaden - petje af, ik PayPal 50 US naar je over.

Ik zeg dit eigenlijk alleen omdat het absolute totale nonsense is en echt zo NIET mogelijk is dat het zelf suggereren al te treurig voor woorden is. Dit is echt TYPISCH lompe bangmakerij. Good luck!

Daarbij wil ik je er nog op wijzen dat je NIET de focus KAN zetten via Javascript op een veld dat is verborgen (ik heb dit zelf ooit geprobeerd)
Uh, het antwoord op je vraag staat in het originele artikel. Ik paste nog wel even wat voorbeeld code uit een reactie hierboven als je het wil.

Dat je het niet snapt moet je zelf weten, maar ga dan niet zelf dingen als
Ik zeg dit eigenlijk alleen omdat het absolute totale nonsense is en echt zo NIET mogelijk is dat het zelf suggereren al te treurig voor woorden is. Dit is echt TYPISCH lompe bangmakerij. Good luck!
lopen roepen.

Voor 50 euro ga ik niet lopen prutsen, maar er 150 van en ik help je wel uit je droom ;)
Dus ze xullen proberen om je zoveel tekst in een webpagina te laten typen tot je uiteindelijk met tussenposen het volledige pad naar een cookie hebt getypt? Dan moet je toch een heel verhaal op een forum of blog moeten typen... Fat chance! Ten minste, als het inderdaad is tot je op verzend klikt... :+ En werkt dit alleen vanaf een clandestiene site, of ook via een exploit te plaatsen in bvb MySpace of YouTube?
Kortom: Trap er niet in als je gevraagd word 100 keer 'The Crazy Fox Jumps Over The Lazy Dog' te typen! Voor je het weet is je WhatPulse account gekaapt... :|
Enquete op internet:

In welke map in windows sla jij jouw documenten op?
in C:/documents and settings/%user%/My pictures

Als mensen zulke enquetes gaan invullen zijn ze dus de lul, mocht dit gat door hackinstanties gebruikt gaan worden.
In welke map in windows sla jij jouw documenten op?
in C:/documents and settings/%user%/My pictures
Ah een linux-gebruiker die een Windows-pad loopt in te typen :)
Dat is juist precies zijn grap.
In Windows kan je gerust beide tekens gebruiken hoor.
@MDS: Neen. Doe maar eens "dir c:/" vanaf de prompt. Gaat niet lukken, want de meeste Windows-executables (en alle ingebouwde commando's) gebruiken "/" als beginkarakter voor switches.

Er zijn wel veel geporte tools die dit slikken, en misschien werkt het ook wel bij sommige API aanroepen, maar het enige officiële scheidingsteken voor paden onder Windows is toch echt \.
"Gelieve deze afbeelding te downloaden naar uw documents-folder en terug up te loaden teneinde..."
nochtans redelijk juist wat hij schrijft, mss moet je je windowspadenkennis even oppoetsen
Ik denk eerder dat jij dat zou moeten doen: zie het verschil tussen / en \
Dat is ook de reden dat ik iederéén aanraad in de familie om als eerste een andere drive en naam te nemen en de oude verwijzingen te laten staan die windows automatisch aanmaakt bij installatie. Oké men moet als men wat wil opslaan even typen, maar in de originelé directories staat dan helmaal niets.
Het is dan handiger om even op de 'my documents' rechts te klikken, en properties uit te kiezen. Daar kun je namelijk een willekeurige directory bepalen voor de 'my documents' directory. bijvoorbeeld: 'd:\documenten' ofzo..

Daarmee heb je dan voorkomen dat het 'my documents' op een bekende plaats staat, terwijl je toch alle voordelen van het 'my documents' concept hebt.
Ik denk dat de meeste 'normale' gebruikers toch echt invullen: Mijn documenten of My documents
Enquete op internet:

In welke map in windows sla jij jouw documenten op?
in C:/documents and settings/%user%/My pictures


Ja echt, oehhhh, HEEL erg realistisch voorbeeld van een enquete ja, zo nuttig om te onderzoeken ook |:(

Ik kan me niet herinneren dat ik *ooit* in mijn leven padnamen in invoervelden van een webpagina heb (hoeven) invullen, en ik kan me ook geen enkel realistisch scenario verzinnen waar dat nodig is.

Het moet ondertussen niet veel gekker worden met die 'veiligheidslekken in browsers'. Straks wordt het al als een lek in de browser gezien als je de gebruiker zo ver krijgt om via een webpagina een programma te downloaden dat een command prompt opent waar je vervolgens FORMAT C: in moet intikken. :Z
En als je op een site zit die je een tekst voorschotelt die je dient over te typen waarna men zogenaamd berekent hoe snel je typt?
/paranoid mode
Wie zegt mij niet dat tweakers.net deze hack ook niet toepast.
paranoid mode/

Ik laat het in ieder geval wel uit mijn hoofd om op een site de woorden c:\boot.ini in te typen .......... ;)
Spannend. Even om de hacker een hoop werk te besparen:

Microsoft Windows XP [versie 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

G:\>type C:\boot.ini
[boot loader]
timeout=5
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
C:\minint\BOOTSECT.DAT="Microsoft Windows XP Professional Restore"
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional"
/fastdetect /NoExecute=OptIn

Wat is er precies spannend aan boot.ini?

Verder denk ik dat de exploit in de praktijk moeilijk tot niet toe te passen is. Enige wat ik me kan voorstellen is dat de hacker een configuratiebestandje van een "password reminder" utility download, waar al je wachtwoorden plain-text instaan...
Verder denk ik dat de exploit in de praktijk moeilijk tot niet toe te passen is.
cookies stelen kan uiteraard ook, en daar kan je redelijk wat ellende mee veroorzaken.
wat heb je nou net gedaan? ;)
als je maar geen C:/documents and settings/%user%/My pictures intikt
Ik vraag me af of het dan niet mogelijk is om gewoon met javascript een vaste text in dit uploadveld te plaatsen? Iets als

document.getElementById('mijnfileuploadveld').value = 'c:\\boot.ini';

Of kan je de tekst in een uploadveld niet bewerken met javascript, en is deze truck van focussen verleggen dus de enige oplossing?
jazeker, normalitair is dat beveiligd, zodat je er vanaf javascript niet bij kan
Net gecheckt: je kunt er inderdaad met javascript niet bij. Maar je kunt 'm wel verbergen en dat trucje met die focus verleggen werkt echt erg simpel.

Je moet als kwaadwillende wel geluk hebben natuurlijk, maar ik zie toch wel een mooie extra feature voor phishers :+
Mwah, dat geluk moeten hebben valt wel mee, zoals hierboven al is gezegd: met de gemiddelde lap text die hier op t.net getypt word kom je al een heel eind.
document.forms['formnaam'].mijnfileuploadveld.value, waarom nog eens een id koppelen aan iets wat al een naam heeft?
Omdat men graag DOM-compliant poogt te schrijven.
Dan moet iedereen voortaan dom gaan doen.
Waar zijn je Windows bestanden opgeslagen?
Antwoord: Op mijn computer :P
Dan moet iedereen voortaan dom gaan doen.
Het zijn nu net de browsers die DOM ondersteunen die kwetsbaar zijn :+
Een bestandsveld zou gewoon niet verborgen moeten kunnen zijn.. maarja, dan zouden ze toch trucjes blijven zoeken.

Zou mooier zijn als windows haar systeembestanden beter zou beschermen..
Windows beveiligd haar bestanden goed (gehoord van ACL?)
Daarbij moet je niet vergeten dat FireFox en IE op zijn minst kernel32.dll, ntdll.dll, etc... moeten laden. Een programma moet minimale leesmachtigingen hebben om te kunnen functioneren. FireFox moet cookies die opgeslagen worden kunnen opslaan (triviaal), maar ook kunnen lezen (ook triviaal).
Dit heeft dus niets met Windows te maken. Het licht hooguit aan de browsers, echter, wanneer zij de standaarden volgen....

Als dit volgens de standaard mag, dan moet er iets op een hoger niveau gebeuren. In weze is er geen sprake van bug of zoiets, min of meer documented behaviour.
Wellicht een interessante observatie: bij het plaatsen van reacties met voorbeelden om deze vulnerability uit te buiten, hebben de betreffende users zelf drive-letters (en mogelijk paden) in lopen vullen. Zo moeilijk uit te buiten is het dus ook weer niet ;).
Dit heb ik eerder gehoord......Was dit in een ander programma of is dit bericht echt al een half jaar oud?
Klopt, dat dacht ik ook direct, volgens mij gaat dit nieuwsbericht over ongeveer hetzelfde? :)

Het staat wel goed in het oorspronkelijke artikel, jammer dat Tweakers.net dat niet zo overgenomen heeft. De titel is zelfs "Old Firefox, IE flaw remains unfixed"...
Nu komt het over alsof er nu een nieuw lek ontdekt is. Dat is niet zo, er word enkel geconstateerd dat het lek er nog inzit :)

Hier staat wat voorbeeldcode...
NoScript gebruiken. Het werkt immers met Javascript :)
Als iemand besluit dit in zijn forum te integreren, gaat het lang duren voordat iemand er ooit achter komt, en kan die persoon in de tussentijd wel redelijk wat bestanden/cookies uploaden...

ben ik blij dat ik konqueror gebruik, die vraagt tenminste voordat-ie bestanden gaat uploaden :)
Dan moet ik in een paranoide bui ook maar konqueror van stal halen (of zou firefox onder linux zoasl ik nu gebruik alsnog veilig genoeg zijn?)
Temporary Internet Files-directory - de locatie daarvan is goed te voorspellen
Slecht voorbeeld: hier is nl. toch echt de windows logon name voor nodig.
Voer het volgende maar eens uit: explorer C:\Documents and Settings\%USERNAME%

Dit is dus echt niet ondenkbaar.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True