Beveiligde surfsessies te kapen met IE8
Een kwetsbaarheid in Internet Explorer 8 geeft hackers de kans om een beveiligde internetsessie te kapen. Er is nog geen patch.
Het gaat om een lek in de manier waarop Internet Explorer 8 omgaat met CSS-stylesheets, stelt de blog van beveiliger Kaspersky. Toen het probleem in 2008 is ontdekt, waren alle browsers kwetsbaar. Intussen is het lek al dicht in Firefox, Chrome, Safari en Opera.
Maar Internet Explorer 8 is dus nog niet dichtgeplamuurd. Gebruikers van deze browser zijn dus kwetsbaar. Een aanval begint met een gebruiker die zich identificeert bij een site en daarna een site van de aanvaller bezoekt. De aanvaller kan dan de eerste sessie kapen en gevoelige info stelen.
[related_article id=”161452″]
Twitterkaping
Beveiligingsonderzoeker Chris Evans wil de kwetsbaarheid weer onder de aandacht brengen en heeft op de nieuwslijst Full Disclosure een link gepost naar een bonafide site die het lek uitbuit. De site demonstreert het lek door een bericht op je Twitteraccount te posten, als je daar tenminste mee akkoord gaat.
Evans wijst ook op een mogelijk gebruiksscenario, door het ongebreidelde vertrouwen dat mensen stellen in URL-verkorters. Een klik naar een verkeerde site kan je een gekaapt Twitteraccount opleveren.