De juiste aandacht voor uw informatiebeveiliging™

Microsoft houdt de voordeur open met Internet Explorer 11

Microsoft houdt de voordeur open met Internet Explorer 11

Microsoft houdt de voordeur open met Internet Explorer 11

Er is opnieuw een serieuze kwetsbaarheid ontdekt in Microsoft Internet Explorer 11 die zelfs met alle up-to-date patches en op de laatste versies van Windows 7 en 8.1 gebruikersgegevens kan openbaren of misbruiken via websites of phishing berichten. Deze nieuwe ontdekking maakt gebruik van een kwetsbaarheid in een standaard beveiligingsmethode van web-applicaties, inclusief internetbrowsers en die Same-Origin Policy (SOP) wordt genoemd. Deze methode moet voorkomen dat gegevens tussen verschillende websites kunnen worden uitgewisseld, zogenaamde cross-site bedreigingen. Door deze beveiliging te passeren kunnen niet alleen gegevens worden misbruikt, maar kunnen ook scripts worden uitgevoerd of kwaadwillende code aan een site worden toegevoegd.

De kwetsbaarheid is een universele cross-site scripting (XSS) fout. Deze kan leiden tot identiteitsdiefstal van website gebruikers en misbruik van cookies op illegale websites die zich voordoen als de originele, legale sites. Niet alleen standaard HTTP-websites zijn kwetsbaar, maar ook beveiligde websites die gebruik maken van het HTTPS-protocol zijn evenzeer kwetsbaar. Ondanks dat de gebruiker een veilige verbinding ziet met het bekende groene certificaatlogo, is men een potentieel slachtoffer van dit risico.

In een voorbeeld laat de ontdekker van dit lek zien hoe hij met Explorer 11 op een Windows 8.1 pc gebruik maakt van de website van The Daily Mail UK. Hij opent via een link deze website en ziet de correcte URL in de adresbalk, maar na 7 seconden wordt de website inhoud vervangen door een externe website. In de adresbalk staat echter nog steeds hetzelfde adres van de Daily Mail, terwijl de pagina inhoud is vervangen door een gelijkwaardig uitziende, maar volledig andere, externe website. Dit werkt ook met HTTPS-websites, zoals banken, webshops, financiële instellingen etc.. Wat u ziet, is dus niet altijd wat u krijgt.

Microsoft is reeds op de hoogte gesteld van dit probleem op 13 oktober 2014, maar bevestigt dat zich nog geen problemen hebben voorgedaan als gevolg van deze XSS kwetsbaarheid. Men ontwikkelt een oplossing voor dit probleem, maar raadt vooral gebruikers aan om niet op links naar websites or andere content te klikken vanuit onbekende of onbetrouwbare bronnen en altijd volledig uit te loggen na gebruik van beveiligde websites.

Voor organisaties die reeds een SECWATCH vulnerability management abonnement afnemen wordt deze security scan automatisch meegenomen binnen de overeengekomen periodes, aangevuld met ad-hoc CVE specifieke audits.

Kijk voor meer achtergrondinformatie en handleidingen

“Door het SECWATCH-klantenrapport kan men nu aan de klanten laten zien dat het bedrijf vertrouwelijk en integer met de klantgegevens omgaat.”

- Directeur aanbieder Cloud-dienst met meer dan 250 klanten