Microsoft wil CSP-kwetsbaarheid in Edge niet dichten
Microsoft is niet van plan een kwetsbaarheid in de webbrowser Edge te dichten. Het gaat om een kwetsbaarheid waarmee aanvallers de Content Security Policy (CSP) die is ingesteld door een webserver kunnen omzeilen, wat ertoe kan leiden dat vertrouwelijke informatie van gebruikers kan worden onderschept.
Dit meldt de Talos Security Intelligence and Research Group van Cisco. CSP is een mechanisme dat is ontworpen om Cross Site Scripting aanvallen tegen te gaan door servers te whitelisten die als legitieme bronnen gebruikt mogen worden voor de client side webapplicatie code. Onderzoekers van de Cisco hebben echter een manier gevonden om de CSP te omzeilen. Hierbij wordt gebruik gemaakt van een kwaadaardige webpagina die specifiek is geschreven voor een specifieke webbrowser.
‘Serieus probleem’
“Informatie disclosure kwetsbaarheden zijn wellicht niet zo serieus als kwetsbaarheden die de aanvaller in staat stellen op afstand code uit te voeren en aan de browser sandbox te ontsnappen om toegang te krijgen tot en controle over het aangevallen systeem”, schrijft Talos op zijn blog. “XSS aanvallen die een aanvallen in staat stellen vertrouwelijke data te onderscheppen en zelfs een gebruikersaccount over te nemen worden gezien als een serieus probleem. CSP is specifiek ontworpen met het oog op het voorkomen van XSS-aanvallen en stelt de server in staat vertrouwde bronnen die veilig uitgevoerd kunnen worden door een webbrowser te whitelisten.”
Talos wijst erop dat veel ontwikkelaars op CSP vertrouwen om hen te beschermen tegen XSS en andere aanvallen waarbij data kan uitlekken, en erop vertrouwen dat webbrowsers de standaard vertrouwen. De implementatie van CSP binnen verschillende webbrowsers varieert echter en stelt in sommige gevallen aanvallers in staat browserspecifieke code te schrijven om de CSP te omzeilen en de bron van de toegestane code zelf te definiëren.
Meerdere webbrowsers zijn kwetsbaar
De kwetsbaarheid in kwestie is aangetroffen in:
- Google Chrome tot versie 57.0.2987.98 - (CVE-2017-5033)
- iOS tot versie 10.3 - (CVE-2017-2419)
- Apple Safari tot versie 10.1 - (CVE-2017-2419)
- Microsoft Edge
Google en Apple hebben de kwetsbaarheid inmiddels gedicht. Microsoft stelt echter dat de kwetsbaarheid onderdeel is van het ontwerp van Edge en wil het beveiligingslek dan ook niet dichten. Talos adviseert gebruikers een webbrowser te kiezen die het CSP mechanisme volledig ondersteund en waarin alle nieuw ontdekte beveiligingslekken zijn verholpen, inclusief deze nieuw ontdekte kwetsbaarheid.
Meer over
Lees ook
Fortinet lanceert Fortinet Advisor, een generative AI assistant
Fortinet voegt een nieuwe oplossing toe aan zijn aanbod van ruim 40 door AI ondersteunde security-producten. Het gaat om Fortinet Advisor, een generative AI (GenAI) assistant. Fortinet Advisor maakt momenteel deel uit van FortiSIEM, de security information & event management (SIEM)-oplossing van Fortinet, en FortiSOAR, zijn security orchestration,1
Microsoft Defender Suite en een SOC houden remote werknemers veilig
Nu de behoefte aan veilig werken exponentieel toeneemt, is het beveiligen van externe en hybride werknemers een steeds groter probleem geworden. Voorheen gebruikten bedrijven beveiliging architecturen die gebaseerd waren op het beschermen van medewerkers die werkzaam waren in on-premises kantooromgevingen.
CISO’s dragen bij aan de algehele strategie voor risicobeheer
CISO’s dragen bij aan de algehele strategie voor risicobeheer Bedrijven rekenen erop dat betrouwbare en veilige IT hun processen ondersteunt. Hoewel IT lang werd gezien als een operationele kostenpost is het inmiddels onlosmakelijk verbonden met de manier waarop bedrijven werken.