Een 600 dagen oud beveiligingslek in Internet Explorer wacht nog altijd op een patch, ook al is het probleem geruime tijd bij Microsoft bekend. Via de kwetsbaarheid kunnen kwaadwillenden vertrouwelijke gegevens stelen. “Op het eerste gezicht lijk het op een relatief klein cross-origin-lek. Maar met een beetje onderzoek, heeft het grote gevolgen”, zegt onderzoeker Chris ‘Scarybeast’ Evans. “Het lek is vrij eenvoudig: IE ondersteunt een window.onerror callback die actief wordt als er een Javascript pars of runtime fout zich voordoet.” Het probleem zit alleen in Internet Explorer en is nog altijd niet gepatcht. “Ik waarschuwde Microsoft in 2008. Daarom is deze disclosure geen zero-day, maar meer een 600-day”, aldus Evans. Hij merkt op dat het lek een interessante geschiedenis heeft. Zo werd in 2006 al ontdekt dat het mogelijk was om via de browser gevoelige gegevens te stelen.
Exploit
In 2007 patchte Mozilla het probleem in Firefox, maar een jaar later ontdekte Evans dat het mogelijk was om de aangebrachte beveiligingsmaatregel te omzeilen. De Firefox demo van Evans bleek echter ook op Internet Explorer te werken, waarop de softwaregigant werd gewaarschuwd. Aangezien er na bijna twee jaar nog altijd geen patch is, besloot Evans tot ‘full-disclosure’ over te gaan. Het lek biedt verschillende mogelijkheden om gegevens te stelen, maar die moet de onderzoeker of iemand anders nog uitwerken. Op deze pagina heeft Evans een proof-of-concept neergezet.
Bron: security.nl
Ik maak graag vrijblijvend kennis om mee te denken over jouw plannen. Met mijn ervaring en netwerk help ik je om ideeën om te zetten in concrete en succesvolle resultaten.
Bezoekadres
Europalaan 33-14
6199 AB Maastricht-Airport (NL)
Postadres
Bellefroidlunet 23a
6221 KS Maastricht (NL)
Kamer van Koophandel
14089683
