Internet Explorer bevat een gapend lek. Als je Microsofts browser gebruikt, kan je maar beter even stoppen met rond te surfen op het internet of links aan te klikken in e-mails. Bekende websites bezoeken, zou dan weer geen probleem mogen opleveren.
Internet Explorer (IE) blijkt een lek te bevatten, dat de deur wijd open zet voor phishing-aanvallen. De kwetsbaarheid schuilt in IE11. Of ook oudere versies kwetsbaar zijn, is onduidelijk.
Hackers kunnen zelfgemaakte pagina’s binnensmokkelen
Phishing wordt mogelijk doordat IE onbedoeld cross-site scripting toestaat. Hackers kunnen het ‘same-origin-beleid van de browser omzeilen, waardoor ze zelfgemaakte pagina’s binnen kunnen smokkelen in legitiem ogende websites. De daarvoor benodigde code is uitermate simpel.
Het lek werd gevonden door onderzoeker David Leo van beveiligingsbedrijf Deusen. Hij vestigde de aandacht op de website Seclist.org. Via die site kan men een proof of concept zien met de website van de Daily Mail. Maar een hacker zou ook een website van een bank kunnen adresseren, en de bezoeker bijvoorbeeld een wijzigingsformulier voor zijn bankgegevens kunnen presenteren.
Lek door Microsoft bevestigd
Wrange bijkomstigheid is dat uitbaters van websites hun bezoekers eenvoudig tegen deze aanvalsvorm kunnen beschermen door in hun webpagina’s de X-Frame-Options-header op te nemen met als waarde ‘deny’ of ‘same-origin’ (in dat geval voorkomt de website dat er onder zijn naam content van buitenaf wordt getoond), maar lang niet alle websites maken hier gebruik van.
Microsoft heeft het bestaan van het lek bevestigd. Van actief misbruik is volgens het bedrijf echter nog geen bewijs gevonden. Wanneer het lek gepatcht wordt, is nog onduidelijk.
Bron: Automatiseringgids
