VirusAlert.nl logo
  30 maart 2017 Blog | nieuwsbrieven | alerts | links | faqs | partners | adverteren | perskamer | colofon | contact
Inloggen:
Twitter
Zoeken ? Powered by Google
Titel:
Kwetsbaarheid IE en Firefox kan bestanden blootleggen
Rubriek:
Virussen
Datum:
14 februari 2007
Bron:
(c) 2007, VirusAlert
Bericht:

De meest recente versies van Internet Explorer en Firefox zijn vatbaar voor een kwetsbaarheid die de inhoud van bestanden op de harddrive aan een aanvaller zou kunnen openbaren. Die moet zijn slachtoffer echter op vrij vernuftige wijze bewerken.

Het probleem, waarvan de kern reeds vorig jaar werd ontdekt, is dat de focus op een element tussen de onKeyDown- en onKeyUp-events naar een ander element verplaatst kan worden. Als een aanvaller de focus naar een input-veld kan verleggen en die het control type 'file' meegeeft, kan hij een bestand van de harde schijf naar een server laten versturen. De aanvaller moet zijn slachtoffer echter wel zo ver krijgen om alle karakters van de bestandsnaam in te tiepen. Tikt die bijvoorbeeld 'C:\ is my boot drive. Incidentally, I like cheese' in, dan kan de aanvaller het bestand boot.ini lezen. Volgens ontdekker Michal Zalewski is dit weliswaar omslachtig, maar hij wijst erop dat gebruikgemaakt kan worden van zaken als captcha's en sites met tekstspelletjes om het probleem uit te buiten. De kwetsbaarheid maakt het bijvoorbeeld mogelijk om cookies te pikken uit de Temporary Internet Files-directory - de locatie daarvan is goed te voorspellen - zodat er op sites ingelogd kan worden onder het account van het slachtoffer.

Reactie plaatsen, log dan hier in
Link:
Securityfocus
Advertentie:


 Reacties op dit bericht:
Er zijn nog geen reacties.

 Uw reactie:
U bent niet ingelogd dus kunt niet reageren op dit bericht.


© 2001-2017 VirusAlert.nl. Alle rechten voorbehouden. Disclaimer/PrivacyVirusalert is wordt doorontwikkeld door *Online Marketing Bureau - Springstof Marketing & Zoekmachine Marketing Bureau - Dutch Consultants RSS