Microsoft wil CSP-kwetsbaarheid in Edge niet dichten
Microsoft is niet van plan een kwetsbaarheid in de webbrowser Edge te dichten. Het gaat om een kwetsbaarheid waarmee aanvallers de Content Security Policy (CSP) die is ingesteld door een webserver kunnen omzeilen, wat ertoe kan leiden dat vertrouwelijke informatie van gebruikers kan worden onderschept.
Dit meldt de Talos Security Intelligence and Research Group van Cisco. CSP is een mechanisme dat is ontworpen om Cross Site Scripting aanvallen tegen te gaan door servers te whitelisten die als legitieme bronnen gebruikt mogen worden voor de client side webapplicatie code. Onderzoekers van de Cisco hebben echter een manier gevonden om de CSP te omzeilen. Hierbij wordt gebruik gemaakt van een kwaadaardige webpagina die specifiek is geschreven voor een specifieke webbrowser.
‘Serieus probleem’
“Informatie disclosure kwetsbaarheden zijn wellicht niet zo serieus als kwetsbaarheden die de aanvaller in staat stellen op afstand code uit te voeren en aan de browser sandbox te ontsnappen om toegang te krijgen tot en controle over het aangevallen systeem”, schrijft Talos op zijn blog. “XSS aanvallen die een aanvallen in staat stellen vertrouwelijke data te onderscheppen en zelfs een gebruikersaccount over te nemen worden gezien als een serieus probleem. CSP is specifiek ontworpen met het oog op het voorkomen van XSS-aanvallen en stelt de server in staat vertrouwde bronnen die veilig uitgevoerd kunnen worden door een webbrowser te whitelisten.”
Talos wijst erop dat veel ontwikkelaars op CSP vertrouwen om hen te beschermen tegen XSS en andere aanvallen waarbij data kan uitlekken, en erop vertrouwen dat webbrowsers de standaard vertrouwen. De implementatie van CSP binnen verschillende webbrowsers varieert echter en stelt in sommige gevallen aanvallers in staat browserspecifieke code te schrijven om de CSP te omzeilen en de bron van de toegestane code zelf te definiëren.
Meerdere webbrowsers zijn kwetsbaar
De kwetsbaarheid in kwestie is aangetroffen in:
- Google Chrome tot versie 57.0.2987.98 - (CVE-2017-5033)
- iOS tot versie 10.3 - (CVE-2017-2419)
- Apple Safari tot versie 10.1 - (CVE-2017-2419)
- Microsoft Edge
Google en Apple hebben de kwetsbaarheid inmiddels gedicht. Microsoft stelt echter dat de kwetsbaarheid onderdeel is van het ontwerp van Edge en wil het beveiligingslek dan ook niet dichten. Talos adviseert gebruikers een webbrowser te kiezen die het CSP mechanisme volledig ondersteund en waarin alle nieuw ontdekte beveiligingslekken zijn verholpen, inclusief deze nieuw ontdekte kwetsbaarheid.
Meer over
Lees ook
Cyberonzekerheid baart CEO's zorgen
Het recente 'Cyber-Resilient CEO' rapport van Accenture legt een verrassende realiteit bloot: ondanks dat bijna alle CEO's van grote, internationale bedrijven (96%) het belang van cybersecurity erkennen, maakt 74% zich zorgen over hun vermogen om cyberdreigingen succesvol het hoofd te bieden.
Nederlandse Tweede Kamerverkiezingen het perfecte lokaas voor cybercriminelen
De Nederlandse Tweede Kamerverkiezingen staan voor de deur. Politieke partijen voeren massaal verkiezingscampagnes in aanloop naar woensdag 22 november, de dag waarop de stembureaus geopend zijn en de Nederlandse kiezers hun stem uitbrengen.
Nederlandse online shoppers lopen risico op emailfraude
Proofpoint Inc., een cybersecurity- en compliance-bedrijf, publiceert onderzoek waaruit blijkt dat 68% van de grootste Nederlandse retailers achterloopt met elementaire cybersecuritymaatregelen. De bevindingen zijn gebaseerd op een Domain-based Message Authentication, Reporting en Conformance (DMARC) analyse van de top 50 grootste Nederlandse reta1