Nieuwe kwetsbaarheden ontdekt in internetbrowsers

De veiligheidswebsite Secunia meldt dat er twee nieuwe veiligheidslekken ontdekt zijn in verschillende internetbrowsers. In de browsers Konqueror, Mozilla en Firefox, Opera, Netscape, Avant, Maxthon en Safari kunnen websites in een inactieve tab namelijk dialoogvenster openen, zodat het lijkt alsof dit venster van de pagina in de actieve tab komt. In Mozilla en Firefox, Netscape Avant en Maxthon kunnen bovendien ook invulvelden van websites in een inactieve tab de focus krijgen, zodat een gebruiker niet doorheeft dat hij gevoelige gegevens invult op een onbetrouwbare website. Om deze lekken succesvol te kunnen misbruiken, moet de gebruiker in beide gevallen op een onbetrouwbare website een link aanklikken naar de bonafide website en deze in een nieuwe tab openen.

Reacties (85)

Verwijderd 22 oktober 2004 09:59

Word nu echt elke bug in een browser aangemerkt als veiligheidslek? Allicht valt hier op een of andere manier wel misbruik van te maken maar de daarvoor benodigde omstandigheden zijn wel heel erg lab-achtig

Anoniem: 16048 22 oktober 2004 09:29

Firefox, Nightly Build 21-10-2004

Fixed: 265055 - Security hole: Textarea.select() can steal focus from other tabs.

Meer info:
http://www.squarefree.com/burningedge/

Download (Zie bovenstaande link voor andere OS'n):
http://ftp.mozilla.org/pub/mozilla.org/firefox/nightly/2004-10-21-07-0 .9/firefox-1.0.en-US.win32.installer.exe

miw @Anoniem: 16048 • 22 oktober 2004 10:30

Bug is nog niet gefixed. Lukt ook niet in de FF1.0 release. Kijk maar eens op de mozilla discussie pagina over dit onderwerp.

SgtStrider @miw • 22 oktober 2004 11:32

Is dus wel degelijk gefixed, maar met een workaround. focus() en select() calls worden nu uit inactieve tabs genegeerd. De fix waar nu aan wordt gewerkt is het niet mogelijk maken van het stelen van de focus van de actieve tab.

buzzin 22 oktober 2004 09:58

Sorry voor de ontdekkers, maar ik gebruik Opera 7.54 en de spoof werkt bij mij niet

Als ik op de link klik opent hij de nieuwe pagina in een nieuw venster en krijg ik de pop-up pas als ik weer terug ga naar de originele pagina....en dan zie je dat ie bij die pagina hoord.

Ook als ik het aanklik en zeg, open in new window, dat krijg ik de pop-up maar ook dan staat de originele pagina op de achtergrond en niet de gelinkte site.

Dus ik kan eerlijk zeggen dat Opera 7.54 er veilig voor is.....gelukkig maar

Ordos20 @buzzin • 22 oktober 2004 10:05

Nog erger, in de preview van Opera 7.60 (linkje via Tweakers) lukt het ook niet. De vraag is dus met welke versie van Opera loop je nog risico dan, want dat hebben deze gasten niet gemeld?

Of is dit alleen enkelt een scare tactic tegen non-IE browsers?

dr snuggles @buzzin • 22 oktober 2004 10:47

Bij mij werkt het ook helemaal niet met Opera 7.54.

Je kan veel zeggen, maar bij Opera worden de bugs zelfs opgelost voor ze zijn aangekondigd

Anoniem: 121852 @buzzin • 22 oktober 2004 11:08

Ik heb Opera 7.54, en hier werkt 'ie wel (rechtsklik op de link, openen in nieuwe pagina (tab), dan krijg ik een wit scherm, even later een popupje waar ik wat in moet typen, en het resultaat daarvan komt in een textarea op de 1e site te staan...

Deze bug is er trouwens ook in java versie, java applets stelen vaak zelfs zonder dat de programmeur zich daarvan bewust is focus.. heb deze bug al anderhalve maand naar opera gestuurd, nooit iets van teruggehoord... blijkbaar fixen ze alleen maar bugs als ze gepubliceerd worden...

(btw, ik gebruik opera 7.54 voor linux met de java player die bij suse meegeleverd zat)

[EDIT]Da's grappig... nu werkt 'ie opeens niet meer...

Misschien download opera stiekum updates?

Anoniem: 28168 @buzzin • 22 oktober 2004 11:39

Ik gebruik nog Opera 7.51, daar zat de bug nog wel in, dus Opera heeft 'm denk ik pas zelf ontdekt.

Wederom bonuspunten voor Opera dus

Unverter @buzzin • 22 oktober 2004 11:58

Ik gebruik dan bijna alleen Firfefox, maar in Opera 7.54 gaat de eerste gewoon fout. De tweede (die ook in de Firefox nightlies al is opgelost en soms erg irritant was) komt niet in Opera voor, maar dat staat ook in het nieuwsbericht.

Ik heb wel gehoord dat de eerste in Opera 7.60 wel opgelost zou zijn. Zullen ze wel niet vermeld hebben omdat er alleen nog maar testversies zijn.

boner 22 oktober 2004 09:13

hoe zit het met slimbrowser? da's een browser die IE als core gebruikt met een tabbed interface...

Anoniem: 72316 @boner • 22 oktober 2004 09:23

Maxthon ook, dus grote kans dat die fout voor Slimbrowser ook opgaat.

Thrillseeka @boner • 22 oktober 2004 09:33

myie2 heeft nergens last van gelukkig

Anoniem: 43054 @Thrillseeka • 22 oktober 2004 10:19

Maxthon = nieuwe versie myIE2 .. lijkt me sterk dat de er geen last van zouden hebben.

Het lijkt me dat elke schil om IE heen die met tabbed browsing werkt dit probleem kent.

Maar goed, je kunt het zelf testen! Ik deed de test overigens fout, opende de link naar citibank en klikte vervolgens terug naar de tab van de test pagina en het invullen van een dialoog lijkt dan niks bijzonders.

Dus: open de link naar citibank in een nieuwe, even wachten dan krijg je een dialoogje, invullen, Enter, dan terug naar de tab van de testpagina.

Uiteindelijk krijg ik hier zelf geen problemen me omdat ik deze dialogen zonder uitzondering ongelezen weg klik.

posttoast @boner • 22 oktober 2004 09:18

Ja, maar dan is het al te laat.

edit:
Shit, het is nog vroeg. Dit was een reactie op bbr

Anoniem: 20502 22 oktober 2004 09:09

Djees omgekeerde wereld...

MS Internet Explorer als een van de weinige die geen last hiervan heeft...

YaPP @Anoniem: 20502 • 22 oktober 2004 10:49

Kijk en vergelijk:

http://secunia.com/advisories/12889/

The two vulnerabilities in combination with an inappropriate behaviour where the ActiveX Data Object (ADO) model can write arbitrary files can be exploited to compromise a user's system. This has been confirmed on a fully patched system with Internet Explorer 6.0 and Microsoft Windows XP SP2.

http://secunia.com/advisories/12706/

The vendor reports that the vulnerability has been fixed in KDE 3.3.1.

RIP-airco @YaPP • 22 oktober 2004 11:11

sorry maar een en ander komt niet voor in Microsoft software .... Waarom zou Microsoft hier dan iets moeten fixen ?

Het zijn de makers van avantbrowser, maxthon, .... die hier in actie moeten schieten

kroeske @RIP-airco • 22 oktober 2004 11:19

In het zelfde artikel van Secunia worden ook 2 nieuwe lekken, die compleet los staan van de boven genoemde lekker, in IE gemeld. dus MS moet wel in actie komen en het fixen.

da Burp @Anoniem: 20502 • 22 oktober 2004 09:11

IE heeft ook geen tabbed browsing.

elinsen @da Burp • 22 oktober 2004 10:24

Als Avant er last van heeft dan is dat dus Internet Explorer. Avant Browser is immers een schil om Internet Explorer heen. Het gaat dus blijkbaar om het tabbed browser deel alleen.

samvanbrussel @elinsen • 22 oktober 2004 12:41

Als ik een component van jou uitbreidt, en er zit door mijn toedoen een fout in de nieuwe component, zit er dan een fout in de originele component?

Pietervs @elinsen • 22 oktober 2004 12:53

en er zit door mijn toedoen een fout in de nieuwe component, zit er dan een fout in de originele component?
Hoeft niet, kan wel: als in het origineel een fout zit, waardoor de door jouw toegevoegde component problemen veroorzaakt, dan het dus wel degelijk aan het origineel liggen...
Maar het is over het algemeen logischer om eerst de toevoegingen te bekijken of die de oorzaak zijn van de fouten.

jesternl @elinsen • 22 oktober 2004 15:30

Maar je kan naturrlijk niet het origineel verantwoordelijk houden voor iets wat alleen een probleem is door een toevoeging erop.

LordPan @elinsen • 24 oktober 2004 00:37

Nee idd.
de programmeurs van IE zullen deze fout niet ontdekt hebben doordat ze bij normaal gebruik van het programma daar geen beroep op doen of weten dat als je tabbed browsing zou gebruiken dat die fout ontstaat, maar geen aandacht aan schenken omdat die functie toch niet geïmplementeerd is.

mschol @da Burp • 22 oktober 2004 14:05

@Da Burp
en dat is nu dus maar goed ook...

maarja lullig dat het kan de beste remedie tegen deze onzin is eigenlijk gewoon niet internetten

rvdvalk @Anoniem: 20502 • 22 oktober 2004 09:11

Werkt ook niet met tabs he

[edit]
'k had jou reactie nog niet gezien Da Burp!

Anoniem: 90197 @Anoniem: 20502 • 22 oktober 2004 14:17

Ik denk dat je deze "fout" eerder kunt vergelijken met phishing: elke e-mailclient waarmee je links kan openen is daar vatbaar voor. Dat Microsofts IE er als één van de enigen geen last van heeft bewijst alleen maar dat die browser hopeloos verouderd is (dus *niet* innovatief zoals MS de laatste tijd probeert te compenseren door met marketing te zeggen dat ze dat wel zouden zijn ;-) ).

nuance: Natuurlijk zijn er ook moderne browsers die geen tabbed browsing hebben omdat ze bedoelt zijn voor gebruik op PDA,'s, tragere hardware e.d. (e.g. Dillo).

dmace 22 oktober 2004 09:31

Aha, je moet de link wel openen als nieuwe tab, anders werkt het niet.
Dus je moet een totaal andere manier van werken hebben dan dat normaal is.
Lijkt me niet zo'n probleem, en nogal vergezocht.
Mensen die dat doen, hebben meer verstand dan de gemiddelde jan met de pet, en die klikken niet zomaar op OK, of vullen ergens zomaar wat in.

Zo'n beetje als "Ik neem de voetgangerstunnel", en dan zegt iemand anders "Als je over de snelweg heen gaat, is het mogelijk dat je aangereden wordt."

Anoniem: 81430 @dmace • 22 oktober 2004 09:49

typisch een reactie van een IE gebruiker die nog nooit met tabs heb gewerkt. waarom zou het 'anders dan normaal' zijn om links in een nieuwe tab te openen? sterker nog, ik open bijna de helft van de links in een nieuwe tab tegenwoordig, vooral als ik weet dat ik de vorige site nog nodig ga hebben. persoonlijk vind ik die tabs geweldig (vandaard blijkbaar dat bijna alle browsers dat tegenwoordig hebben).

C7RL 22 oktober 2004 10:14

Fantastisch! Huh hoezo fantastisch? Ik gebruik Mozilla Firefox 1.0P, voor al die mozilla firefox gebruiken ga in je browser naar: Tools->klik links op advanced-> scroll naar optie software update-> en klik op "check now" voor software updates en installeer deze violla

Fireshade @C7RL • 22 oktober 2004 10:44

eh... maar er viel niets te updaten volgens "Check now".
en de bug werkt nog steeds.

Anoniem: 126885 22 oktober 2004 10:30

It's not a bug, it's a feature.

Er zal altijd wel wat te phishen blijven

met die timer kan je dit met elke willekeurige browser doen.

Anoniem: 45413 @Anoniem: 126885 • 22 oktober 2004 11:21

Ja ik heb ook het gevoel dat het een gevolg is van de ontwerp keuze om tabs die niet op de voorgrond staan, toch een Javascript 'actie' uit te laten voeren. Niet zo zeer een bug, eerder een keuze bij het ontwerp.

Tabbed browsing, handig als het is, heeft geen plaats in Javascript. Het concept tab bestaat m.i. niet in de DOM standaard. Ik neem aan dat het als window beschouwd kan worden, maar dit bericht toont aan dat de meeste browsers dat soms niet zo zien, want de tab krijgt de focus niet terug.

Misschien kunnen ze beslissen dat eventuele timer (loop) pauzeert als een tab geen focus heeft.

bbr 22 oktober 2004 09:12

uhm, dus dan zou je 1 venster open hebben, maar eigelijk in een andere tab / venster zitten te typen?
zou je dat dan niet zien zodra er geen text verschijnt in het veld dat je verwacht?

Devian @bbr • 22 oktober 2004 09:20

test het zelf maar met de link in het artikel.

Je typt in een veld in een andere tab... je klikt op ok.. maar de tekst die je net in dat ene veld hebt ingevuld, staat dan in de andere tab ingevuld. Dus heeft niks met goed kijken verder te maken, het lijkt alsof dat veld bij tab2 hoort erwijl bij de submit de gegeven sin tab1 komen te staan

Anoniem: 90138 @Devian • 22 oktober 2004 09:31

Toch kan ik me niet voorstellen hoe hier makkelijk misbruik van gemaakt zou kunnen worden.

Eerst moet je vanuit een onbetrouwbare website een link als nieuwe tab openen, daarvoor zouden dus instructies moeten staan op de onbetrouwbare website zoals bij het voorbeeld.

Vervolgens krijg je al voordat je naar de nieuwe tab gaat (bij mij iig. wel, firefox 1.0) de pop-up met de titel "[JavaScript Application]" waarin je dus verzocht zou kunnen worden persoonlijke info in te voeren.

Dan ben je dus wel een enorme kneus als je daarin trapt. Die zijn er natuurlijk wel, maar die zijn vast ook wel op makkelijkere manieren te misbruiken dan dit. Bovendien zullen die mensen denk ik niet vaak gebruik maken van tabbed browsing als ze uberhaupt al gebruik maken van andere browsers dan IE. Ik zie dit dus niet als ernstige lek, maar het is zeker wel een lelijk schoonheidsfoutje die snel gefixed zou mogen worden.

miw @Anoniem: 90138 • 22 oktober 2004 10:56

het is zeker wel een lelijk schoonheidsfoutje die snel gefixed zou mogen worden

Misschien een teleurstelling, maar deze bug 124750 (en gerelateerde bugs), is al bekend bij Mozilla sinds begin 2002. Slecht voor Mozilla/Firefox dat dit zo lang onopgelost is gebleven.
Hopelijk is de extra aandacht een stimulans om het probleem op te lossen.

xylone @Devian • 22 oktober 2004 09:34

Ik weet niet precies hoe je dat voor elkaar krijgt, maar wanneer ik de link in het bericht aanklik en vervolgens op elke willekeurige pagina, waaronder het "reageer"-pagina, waar ik nu in tik, krijg ik gewoon geen focus en zie ik dus ook helemaal niets gebeuren. Ook een pulldown menu aanklikken is onmogelijk, dus ik denk dat het niet bij elke versie mogelijk is. (Ik gebruik FireFox 1.0 Preview)

Gert @Devian • 22 oktober 2004 11:35

Als je text in typed dan verwacht je neem ik aan dat er letters verschijnen, en die komen nu niet waar je typed maar in een tab dat je niet kan zien.
Tenzij je tabbladen transparant kan maken en het input veld maskeren met die van de foute site lijkt mij dat dit alleen maar boze klanten oplevert omdat "het tekstveld het niet doet", verder niets.

Trouwens, deze "feature" blokeert ook input vanuit een nieuw venster. 'k Moest eerst de tab van secunia sluiten voor ik iets in deze reactie kon schrijven.

Anoniem: 121852 22 oktober 2004 11:12

Ik snap eigenlijk niet wat hier het probleem is... Je doet je hier met dat popupje voor als een andere site, maar dat kan je ook doen door middel van de layout kopieren.

Neem bijvoorbeeld de rabobank:

Ga alleen verder als de adresregel begint met https://bankieren.rabobank.nl/...
U bent er dan zeker van dat u communiceert met de Rabobank.
Lees meer over beveiliging »

Dit zie je staan in een popupje met adresbalk. Dus we geven de gebruiker een popupje zonder adresbalk, we kopieren de layout van de rabobank, en we zetten bovenaan als plaatje een luna IE adresbalk, zodat iedereen die IE gebruikt en windows in Luna mode heeft staan (veel!) niet door heeft dat ze eigenlijk hun gegevens op een heel andere site invullen... Hopla, een bug in IE en Windows Luna! Ben ik nu veiligheidsexpert?

Anoniem: 126195 @Anoniem: 121852 • 22 oktober 2004 13:19

Op welke manier is de mogelijkheid om "adressbalk-vrij" te browsen een bug in IE?

Anoniem: 121852 @Anoniem: 126195 • 22 oktober 2004 14:54

Je kan dan zelf een adresbalk bovenaan de pagina neerzetten en zo de gebruiker laten denken dat er toch een adresbalk is... Omdat de adresbalk bovenaan een plaatje is kan je makkelijk er een ander adres neerzetten dan waar de gebruiker werkelijk is. Er zijn bijzonder weinig mensen die zullen controleren of de adresbalk echt is door erop te klikken

OK, wat vergezocht misschien, maar dan kan je dit ook als bug rekenen, en zo zijn er nog wel veel meer "bugs" die je wel op iedere browser kan toepassen

Op dit item kan niet meer gereageerd worden.

Nieuwe kwetsbaarheden ontdekt in internetbrowsers

Lees meer

Reacties (85)

Sorteer op:

Weergave: