Experts slaan alarm over Clickjacking-lek in IE en Firefox

Een beveiligingslek van ongekende omvang treft bijna alle browsers van dit moment en het probleem is zeer lastig te patchen. Oorspronkelijk zouden beveiligingsexperts Robert “RSnake” Hansen and Jeremiah Grossman tijdens de OWASP AppSec 2008 conferentie in New York de details van het ‘Clickjacking-lek’ onthullen, maar op verzoek van Adobe, Microsoft, Mozilla en andere kwetsbare vendors werd de presentatie opgeschort totdat een update beschikbaar is. De experts zagen zelf ook in dat het onverstandig was om tot full-disclosure over te gaan.

De twee gaven wel een besloten presentatie en de details deed menig expert schrikken. “In een notendop komt het erop neer dat als je een kwaadaardige website bezoekt de aanvaller volledige controle heeft over de links die je browser bezoekt. Het probleem treft alle verschillende browser, behalve zoiets als Lynx. Het probleem heeft niets te maken met JavaScript, dus het uitschakelen van JavaScript in je browser zal je niet helpen. Het is een fundamenteel probleem in de manier waarop je browser werkt en is niet via een eenvoudige patch te verhelpen. Meer hierover op Security.NL

Gepubliceerd door

Dreams

Nerd, photographer and gourmand. Wanna-be chef and happy camper in general. Coffee fetishist!