Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 14 reacties

Een beveiligingsonderzoeker heeft een nieuwe manier ontdekt waarop kwaadwillenden de communitysite MySpace kunnen misbruiken om gebruikers malware te laten downloaden en installeren.

De door onderzoeker Roger Thomson ontdekte manier maakt geen gebruik van cross site scripting in combinatie met een iframe, zoals eerder ontdekte aanvallen, maar benut de mogelijkheid om een achtergrondafbeelding klikbaar te maken. Door de browser te laten denken dat de achtergrondafbeelding net zo groot is als het scherm, zorgt elke 'misklik' op een pagina ervoor dat de gebruiker naar een site met malware wordt gestuurd.

Het nieuwe lek is door Thomson al in het wild aangetroffen op een Myspace-pagina over Alicia Keys. 'Het feit dat deze pagina veel geluid en video bevat, betekent dat de FakeCodec-truc effectief is', aldus de onderzoeker op zijn blog. 'De internetter verwacht waarschijnlijk een video en is dus eerder geneigd te denken dat er daadwerkelijk iets moet worden geļnstalleerd'.

Thomson tast overigens nog in het duister over hoe de exploit concreet wordt uitgevoerd en hoeveel mensen hier al door getroffen zijn. MySpace en Google lijken de html-exploitcode niet te indexeren. Een zoektocht naar de exploitsite - co8vd.cn - levert volgens Thomson, afgezien van een aantal mogelijke slachtoffers, geen aanwijzingen op.

Moderatie-faq Wijzig weergave

Reacties (14)

Jammer dat er geen veiligheidseisen aan besturingssystemen en software worden gesteld. Wat mij betreft mag dat van overheidswege geėist worden.
Dat kan nooit worden gedaan. Fouten in software zullen altijd blijven voortbestaan en nooit helemaal kunnen worden uitgeroeid.
MySpace laat vrijwel alle HTML en CSS toe, en probeert krampachtig elke vorm van scripting te voorkomen. Dat terwijl objects en embeds in veel gevallen wel mogen. Dan vind ik het niet erg vreemd dat er steeds nieuwe exploits opduiken.

Je zou ook een onzichtbare link naar een exploit kunnen maken, die de hele pagina bedekt. Dat kan Myspace nooit voorkomen, tenzij ze CSS weren, waardoor het customizen van je profiel niet meer mogelijk is.
Dat klinkt heel mooi in de ideale wereld moest het haalbaar zijn.

Maar als ik als programmeur een stuk software oplever, dan kan ik alleen maar zeggen dat het "naar mijn gevoel en beste kennis" veilig is. Iemand anders zal gegarandeerd wel een of ander gaatje vinden.
Als de overheid dat ook betaald is het mij best.

Het kan een week tot een paar jaar duren om een programma te maken. Vervolgens kan het nog tweemaal, zo niet nog veel en veel langer duren, om een programma helemaal bugvrij en veilig te maken, en elke keer dat er weer een niet eerder mogelijk probleem vastgesteld wordt mag het programma weer bijgewerkt worden.

Dit is misschien wel mogelijk, maar het kost zodanig veel dat het gewoon niet mogelijk is.
'De internetter verwacht waarschijnlijk een video en is dus eerder geneigd te denken dat er daadwerkelijk iets moet worden geļnstalleerd'.
Dat is toch geen lek in MySpace maar gewoon een fout van de gebruiker of een lek in de browser die veel te makkelijk software laat installeren?
Of een lek ik de gebruiker die te makkelijk op "Ok" klikt....

Mijn ervaring is dat mensen NIET lezen.. Ik maak zelf software en hoe groot ik de letters ook maak en hoeveel meldingen ik ook geef... Meestal is er zoiets van "het zal wel goed zijn"

De onwetendheid en niet bewustzijn van gevaren is het grootste lek wat er bestaat in beveiliging en instalatie van kansloze software... Alleen de oplossing weet ik niet ;) als ik die wist was in waarschijnlijk al poephemeltje rijk.
Als mensen te snel op 'Ok' klikken, ligt de oplossing eigenlijk voor de hand: ipv. te vragen of men deze software wil installeren, vraag je of men de installatie af wil breken ;)

@hieronder: patent is al ingediend :P

[Reactie gewijzigd door Zyppora op 9 november 2007 13:39]

Jij gaat rijk worden ;)
Ja, maar daar pest je de Cancel-klikkers weer mee ;)
"Wilt u doorgaan zonder deze software te installeren ?"
"Ja - Neen - Cancel"

Dat zou het probleem wat je zegt oplossen, maar ik ben van mening dat je als gebruiker gewoon niet direct op alles moet klikken. Helaas gebeurd dit door vele 'computerleken' niet ;).

Edit: @ Storme: Dat is onder windows zo, ikzelf ben linux gebruiker. Onder linux installeer je meestal packages via je package manager. Dat is naar mijn mening veel fijner, maar dat is natuurlijk erg persoonlijk ;).

[Reactie gewijzigd door DeadLock op 9 november 2007 16:24]

Ah, installaties ...

Next - Next - Accept - Next - Install - Ok

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True