24-03-04

webbased logon scripts open voor aanval - zo doe je dat

We vullen wel allemaal ergens online onze naam en paswoord in en hier gaat het over enkel de email, maar waarschijnlijk zijn veel meer online applicaties ondanks de filters vulnerable voor dit soort aanvallen. Temeer daar men oa de paswoorden kan onderscheppen en wat heb je meer nodig dan paswoorden bij een financiële transactie ?
 
http://news.com.com/2100-7349_3-5178155.html?part=rss&...

The vulnerability takes advantage of the seldom-used HTML+TIME module in Internet Explorer, which allows the browser to add timing and synchronization to Web pages. The flaw itself is not in Internet Explorer, however, or Outlook; it requires a Web service to actually have some interesting content to attack, GreyMagic's Dagon said.

"A script in Outlook would have to rely on a second vulnerability to do any real damage," he said. "However, when a script is running in Web-based services, it has immediate access to the entire mailbox.

lees ook http://www.greymagic.com/security/advisories/gm005-mc/   Note that many other web-based services may be vulnerable to this method of exploitation, as it is a completely new way to embed script. De technische uitleg en de proof of concept staat er ook.

ander nieuws  microsoft is met haar passport in het luchtledige aan het lopen (als gebruiker vind ik het een opgelegde probleemapplicatie). Herinner ook de verschillende privacy en security aanpassingen die men reeds heeft moeten uitvoeren. http://news.com.com/2100-7345_3-5177192.html?tag=st_rn

ekz


12:02 Gepost door technology changes fast not a lot | Permalink | Commentaren (0) |  Facebook |

De commentaren zijn gesloten.