Internet Explorer (IE) blijkt een lek te bevatten, dat de deur wijd open zet voor phishing-aanvallen. De kwetsbaarheid schuilt in IE11. Of ook oudere versies kwetsbaar zijn, is onduidelijk.

Hackers kunnen zelfgemaakte pagina's binnensmokkelen

Phishing wordt mogelijk doordat IE onbedoeld cross-site scripting toestaat. Hackers kunnen het 'same-origin-beleid van de browser omzeilen, waardoor ze zelfgemaakte pagina's binnen kunnen smokkelen in legitiem ogende websites. De daarvoor benodigde code is uitermate simpel.

Het lek werd gevonden door onderzoeker David Leo van beveiligingsbedrijf Deusen. Hij vestigde de aandacht op de website Seclist.org. Via die site kan men een proof of concept zien met de website van de Daily Mail. Maar een hacker zou ook een website van een bank kunnen adresseren, en de bezoeker bijvoorbeeld een wijzigingsformulier voor zijn bankgegevens kunnen presenteren.

Lek door Microsoft bevestigd

Wrange bijkomstigheid is dat uitbaters van websites hun bezoekers eenvoudig tegen deze aanvalsvorm kunnen beschermen door in hun webpagina's de X-Frame-Options-header op te nemen met als waarde 'deny' of 'same-origin' (in dat geval voorkomt de website dat er onder zijn naam content van buitenaf wordt getoond), maar lang niet alle websites maken hier gebruik van.

Microsoft heeft het bestaan van het lek bevestigd. Van actief misbruik is volgens het bedrijf echter nog geen bewijs gevonden. Wanneer het lek gepatcht wordt, is nog onduidelijk.

Bron: Automatiseringgids

Internet Explorer (IE) blijkt een lek te bevatten, dat de deur wijd open zet voor phishing-aanvallen. De kwetsbaarheid schuilt in IE11. Of ook oudere versies kwetsbaar zijn, is onduidelijk.Hackers kunnen zelfgemaakte pagina's binnensmokkelenPhishing wordt mogelijk doordat IE onbedoeld cross-site scripting toestaat. Hackers kunnen het 'same-origin-beleid van de browser omzeilen, waardoor ze zelfgemaakte pagina's binnen kunnen smokkelen in legitiem ogende websites. De daarvoor benodigde code is uitermate simpel. Het lek werd gevonden door onderzoeker David Leo van beveiligingsbedrijf Deusen. Hij vestigde de aandacht op de website Seclist.org. Via die site kan men een proof of concept zien met de website van de Daily Mail. Maar een hacker zou ook een website van een bank kunnen adresseren, en de bezoeker bijvoorbeeld een wijzigingsformulier voor zijn bankgegevens kunnen presenteren. Lek door Microsoft bevestigdWrange bijkomstigheid is dat uitbaters van websites hun bezoekers eenvoudig tegen deze aanvalsvorm kunnen beschermen door in hun webpagina's de X-Frame-Options-header op te nemen met als waarde 'deny' of 'same-origin' (in dat geval voorkomt de website dat er onder zijn naam content van buitenaf wordt getoond), maar lang niet alle websites maken hier gebruik van. Microsoft heeft het bestaan van het lek bevestigd. Van actief misbruik is volgens het bedrijf echter nog geen bewijs gevonden. Wanneer het lek gepatcht wordt, is nog onduidelijk. Bron: Automatiseringgids