Goedgelovige Safari-browser laat identiteitsdiefstal toe
Vergiftigde cookie kaapt beveiligde surfsessie
29 juli 2008 | Rowald Pruyn
Britse en Australische gebruikers die het web op gaan met Safari lopen het risico om hun wachtwoordgegevens te verspelen door een lek in de Apple-browser.
Het lek is alleen gevaarlijk wanneer een gebruiker inlogt op een beveiligde website met een tweeledige domeinextensie, zoals co.uk en co.au. Omdat Safari deze topleveldomeinen (TLD) anders behandelt dan domeinen met enkele uitgangen als .nl en .be kan een aanvaller een cookie naar binnen smokkelen die zogenoemde session fixation-aanvallen mogelijk maakt.
Cookies zijn kleine tekstbestandjes die persoonlijke voorkeuren bewaren op de computer van een gebruiker. Ze worden vaak gebruikt om inloggegevens te bewaren. Safari gebruikt het besmette exemplaar vervolgens wanneer een gebruiker inlogt bij zijn e-mail of netwerksite, waarna de aanvaller zijn wachtwoord kan buitmaken.
Cross-site cooking
Safari gebruikt vervolgens dezelfde cookie wanneer een surfer zijn wachtwoord invoert op een andere beveiligde site binnen hetzelfde tweeledige topleveldomein. Dit verschijnsel staat bekend als cross-site cooking. Door de goedgelovigheid van de browser kan een aanvaller in één klap de identiteit kapen bij meerdere webapplicaties.
Nog geen patch
Het lek werd ontdekt door hacker Alex “Kuza 55”. Het is de tweede keer binnen korte tijd dat de browser via een achterdeur gevaarlijke aanvallen toelaat. Er is nog geen nieuws voor een patch onder de horizon.
Volgens Heise Security was de kwetsbaarheid ook in andere grote browsers als Internet Explorer en Firefox een probleem. Maar zij hebben er ruim vier jaar geleden al korte metten mee gemaakt.
bron: ZDNet
Related Partner info »
Lees verder op ZDNet »
Apple stuurt weer ongewenste software uit
Safari 4 bèta ruimt extreem slecht op
"Safari is gemakkelijk scoren"
Vernieuwd Safari verhardt pantser tegen phishing
Apple plakt eindelijk verband over DNS-lek
Update Firefox 3 maakt tapijtbom onschadelijk
Browser iPhone nog altijd lek
Vierde grote update voor Mac OS X
Safari for Windows 3.1.2
Tapijtbom in Safari opgelost
Apple Safari 3.1
Microsoft waarschuwt voor Windows-versie Safari
Stopbadware.org wil snelle reparatie Safari-lek
Apple niet bezorgd over ’tapijtbom’ in Safari-browser
Updatetactiek Safari boekt resultaat
Apple past updatesoftware aan na klachten
Nog meer op ZDNet »
vSphere licenties onder de loep
Blog : Zakelijke IT
Met de recente lancering van hun eerste update (in Windows termen het equivalent van een Service Pack) voor de vSphere 5 suite staat voor veel bedrijven het licht op groen om hun huidige vSphere 4 omgeving up te graden. Maar hoe eenvoudig is die taak?
» Boot Windows 8 te snel?
news
De opstarttijd van Windows 8 is zo kort dat er nauwelijks tijd is om in de Veilige Modus te geraken. Microsoft sleutelde daarom flink aan de bootcyclus.
» Antwerpse jeugd kan begeleid gamen
news
In Antwerpen opent vandaag Gamebox, een project waar jongeren onder begeleiding van specialisten kunnen gaan gamen.
» Super tip: het internet als e-book
help
De webapplicatie Readlists maakt gratis e-books van door jou geselecteerde nieuwsartikelen en verstuurt ze naar je smartphone, tablet of e-reader.
Review: Diablo III
Game
Twintig jaar geleden redde een groepje naamloze helden de wereld. Nu is het aan een nieuwe generatie om de demonen terug richting de hel te sturen.
