Beter even niet surfen met Internet Explorer
Het lek werd gevonden door onderzoeker David Leo van beveiligingsbedrijf Deusen. Hij vestigde er de aandacht op op de website Seclist.org. Via die site kan men een proof of concept zien met de website van de Daily Mail. Maar een hacker zou ook een website van een bank kunnen adresseren, en de bezoeker bijvoorbeeld een wijzigingsformulier voor zijn bankgegevens kunnen presenteren.
Niet duidelijk of alle versies van IE kwetsbaar zijn
Microsoft heeft het bestaan van het lek inmiddels bevestigd. Van actief misbruik is volgens Microsoft nog geen bewijs gevonden. Wanneer het lek gepatcht wordt, is nog onduidelijk. De kwetsbaarheid schuilt in ieder geval in IE11. Of oudere versies van Internet Explorer ook kwetsbaar zijn, is onduidelijk.
Wrange bijkomstigheid is dat uitbaters van websites hun bezoekers eenvoudig tegen deze aanvalsvorm kunnen beschermen door in hun webpagina's de X-Frame-Options-header op te nemen met als waarde 'deny' of 'same-origin'. In dat geval voorkomt de website dat er onder zijn naam content van buiten wordt getoond. Maar lang niet alle websites maken hiervan gebruik.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee