Veiligheidslek in Safari en Firefox

35 reacties

Via BoingBoing.net, een weblog van enkele technologie-freaks, leren wij dat een groep van security professionals genaamd Shmoo.com een veiligheidslek heeft ontdekt in alle browsers, behalve Internet Explorer.

Het lek maakt gebruik van een fout in de IDN (International Domain Name) ondersteuning van de genoemde browsers. Hiermee kan de URL die bovenin de adresbalk verschijnt, voor de gek gehouden worden en kan je als nietsvermoedende gebruiker denken dat je op bijvoorbeeld www.paypal.com zit, terwijl je in werkelijkheid op een site van een phisher zit die mogelijk credit card gegevens verzamelt.

Op deze site zie je 2 links naar www.paypal.com, de ene normaal en de ander via https. Klik er op en je ziet dat je browser bovenaan gewoon www.paypal.com weergeeft, terwijl je in werkelijkheid een andere site ziet.

Als je met de rechtermuisknop de source bekijkt zie je ook niets raars, en alles lijkt er op dat je echt op paypal.com zit, zelfs in de “Activity viewer” van Safari zie je www.paypal.com staan. Een hacker zou gebruik kunnen maken van deze fout en een nep-pagina van PayPal neerzetten met het verzoek of je je credit card gegevens even wilt invullen.

Safari en Mozilla trappen er in, Internet Explorer en OmniWeb niet. Andere browsers heb ik niet getest.

Bron: BoingBoing.net
Advies: shmoo.com

Reacties

35 reacties
  • Profielfoto
    Jean Nicolas

    Ai, dit is behoorlijk heftig! voorlopig maar even geen creditcard gebruiken dus…

  • Profielfoto
    gretver

    Shiira dan maar?

    http://hmdt-web.net/shiira/index-e.html

    Dit programma trapt er mooi niet in. Vreemd, want wel gebaseerd op Safari.

  • Profielfoto
    xkrprtl

    Zucht.

    Ik hoor ze al… (de windowsgebruikers die krampachtig vast blijven houden aan explorer)

  • Profielfoto
    Superfly

    Ik snap het niet, ik klik ze allebei aan, maar ik zie toch echt verschillende sites! Met Safari. Bij de 1 staat namelijk https:// i.p.v. http://

  • Profielfoto
    gretver

    @superfly, ja de een is een gewone link, de andere een beveiligde ssl link. Probleem is dat Safari beiden laat zien als xxxx://www.paypal.com

  • Profielfoto
    phats

    Ik weet niet precies wat er bedoeld wordt, ook met Shiira open je beide sites (de meeow-sites dus) en het verschil http & https wordt ook gegeven…????

  • Profielfoto
    iOhan

    Betekent dit niet gewoon: heel goed opletten?! Bij de https versie verschijnt rechtboven in de brushed balk een slotje, bij de http versie niet. Als je dus een beveiligde betaalsite denkt te bezoeken, controleer dan of het https is en of het slotje te zien is. Of heb ik het mis?

  • Profielfoto
    phats

    Ah, I see….. Met IE worden deze pagina’s gewoon NIET geladen, dus Shiira trapte er wel in…. Jammer!

  • Profielfoto
    Erik Joling

    Wat mij verontrust dat is dat de softwarebakkers al op 19 januari op de hoogte gebracht zijn, en dat Apple nog geen sjoege heeft gegeven.

  • Profielfoto
    cubizer

    En wat zien we in de broncode op de demo-site? http://www.pаypal.com, ipv http://www.paypal.com . (Of httpS; zelfde verhaal.)
    Safari vreet dit, en zet de hexadecimaalcodes het net op, maar toont ze in de adresbalk als gewone, leesbare tekens. Slim!

  • Profielfoto
    macsterken

    Vreemd, onder netnewswire werkt het niet, onder safari zie ik inderdaad paypal.com. Nochtans gebruikt NNW de safari component.

  • Profielfoto
    Chester2

    de Realplayer browser (die ik verder nooit gebruik) trapt er niet in een geeft https://www.xn--pypal-4ve.com aan. IE5.2 wil helemaal niet.
    Toch knap voor twee browsers waar ik geen hoge pet vanop had. :( :)
    Firefox & Safari trappen er vol in.
    Goed argument voor de Windows lobby.
    :(

    PS Op pc zelfde verhaal

  • Profielfoto
    iljavanroon

    maar hoe weet je of dit bericht wel echt op macosx.nl is gepost en niet op de site van microsoft.com?

    paranoia

  • Profielfoto
    Snakeman

    [iljavanroon] maakt het wat uit dan?

  • Profielfoto
    Viva

    Da’s niet best AAPL en Firefox (als ik ervan uitga dat het klopt).

    Verder maakt het me weinig uit, betaal nooit met CC op iNet.

  • Profielfoto
    gretver

    Shiira geeft ook https://www.xn--pypal-4ve.com aan dus.

  • Profielfoto
    black_eye

    Firebird trapt er lekker niet in…

  • Profielfoto
    I-think

    dis niet zo best lijkt me
    maar waarom gaan ze dat dan vertellen aan de hele wereld?
    waarom eerst niet zorgen dat er een oplossing komt?

  • Profielfoto
    BartVB

    Extreem simpele en bijzonder effectieve exploit. Niet handig. Wel erg positief dat IE niet vulnerable is (doordat de ontwikkeling van IE zo goed als stil ligt/lag).

    Het vervelende is dat dit probleem behoorlijk moeilijk op te lossen is : Enige dat je tot nu toe kan doen is IDN support uitzetten in je browser.

  • Profielfoto
    Jappr

    Als je bij (bijv.) firefox even de page info opvraagt bij de ssl verbinding, dan kan je bij het security certificate zien: common name –> http://www.xn--pypal-4ve.com
    en bij de andere certificate fields ook. Het is dus niet geheel onzichtbaar, bij de http site kon ik echter niets ontdekken.. ernstige fout. en nog ernstiger dat er nog geen updates beschikbaar zijn als het al een maand bekend is…

  • Profielfoto
    bidiiw

    het permanent uitzetten van idn in firfox gaat als volgt:
    zoek het bestand compreg.dat in de map:
    ~/Library/Application Support/Firefox/Profiles/paxqls20.default/

    zoek naar:
    @mozilla.org/network/idn-service;1

    en verander de 1 in een 0:
    @mozilla.org/network/idn-service;0

    kan zijn dat je je cach moet legen en firefox moet herstaren

  • Profielfoto
    Uilenspiegel

    Het is geen bug, maar een correct toepassen van
    internationale standaarden. zie Tweakers.net

  • Profielfoto
    Hemmik

    Als ik het me goed kan herinneren was deze “bug” ook al een keer in IE gevonden…deze is toen daarna dus wel gedicht zo te horen

  • Profielfoto
    ganondorg

    mm wel vervelend maar ik gebruik toch geen paypal dus heb er geen last van

  • Profielfoto
    Bram

    Zo’n dergeljk probleem had IE een tijdje geleden ook al. Op mijn oude 10.2.8 Safari werkt dit overigens niet. :D

  • Profielfoto
    kristo

    :angry:

  • Profielfoto
    henkverhaar

    “Als je met de rechtermuisknop de source bekijkt zie je ook niets raars, en alles lijkt er op dat je echt op paypal.com zit, zelfs in de “Activity viewer” van Safari zie je http://www.paypal.com staan”

    Dat moet je ook niet op de target pagina doen maar op de pagina waar de (gespoofde) link op staat. Dan zie je in Safari in de source gewoon ‘Click here to enter paypal
    ‘ staan hoor…

  • Profielfoto
    boesboes

    hmm, dacht dat dit lek al bekend was. Las er aantal maanden geleden eens iets over op tweakers.net

    Welja, zal wel vlug gedicht worden zeker!

  • Profielfoto
    gretver
  • Profielfoto
    Sbojevets

    Is deze patch wel betrouwbaar??? Iemand ervaring?

  • Profielfoto
    viv

    :sealed: ehh… en postbank enzo… als netscape 7 een slotje laat zien…
    :( is het dan veilig… de pb wil dat je let op het adres…
    ??? veiliger op win98/firewall/explorer? nee toch

  • Profielfoto
    Amsterdam

    Gelukkig gebruik nooit creditcards. :sealed:

  • Profielfoto
    Erik Joling

    Ik wel, heel handig, dus Apple moet maar snel dit lek dichten!

  • Profielfoto
    bartv

    Ik kreeg de volgende tip vandaag voor een collega:

    Hoe het met andere browsers zit, weet ik niet, maar voor Mozilla [en FireFox, bartv] is de volgende workaround van toepassing:

    Als je de uitgebreide configuratie er bij pakt (about:config), dan kan je de volgende key omzetten:

    network.enableIDN = false

  • Profielfoto
    joriske

    Dit is toch absoluut niks nieuws, er zijn gewoon tekens in een internationale codeset die er hetzelfde uitzien als onze letters, maar het niet zijn. Je registreert een domein dat hetzelfde uitziet maar een ander teken bevat en klaar is je spoof. Meer dan een jaar geleden is het al eens met Microsoft.com gedaan, dus ik snap niet waarom het nu weer opduikt. En inderdaad zoals iemand eerder in deze thread meldt, het is niet eens een bug.