*Kingpin*
Lid
- Lid geworden
- 23 jan 2004
- Berichten
- 89.558
- Waarderingsscore
- 229
woensdag 30 mei 2007
--------------------------
Miljoenen Firefox gebruikers kwetsbaar door extensies
Miljoenen Firefox gebruikers lopen het risico om gehackt te worden omdat ze allerlei extensies gebruiken. Het gaat met name om commercile third-party extensies, zoals die van Google, Yahoo, Ask, Facebook, LinkedIn, Del.icio.us, Netcraft Anti-Phishing Toolbar en de PhishTank SiteChecker.
In tegenstelling tot alle extensies die Mozilla aanbiedt, zoeken de commercile extensies naar updates op servers die geen https gebruiken. Een aanvaller zou, in het geval van een draadloos netwerk, de update check van de extensie kunnen kapen, en zo een kwaadaardig bestand aanbieden. Op deze manier kan de aanvaller het systeem overnemen of vertrouwelijke gegevens achterhalen.
De ontdekking werd gedaan door Christopher Soghoian, de student die eerder al het nieuws haalde met zijn vliegticketgenerator. "Het is wel erg ironisch dat je door het downloaden van een anti-phishing toolbar je jezelf kwetsbaarder maakt dan als je het niet had gedownload. Het was erg eenvoudig te ontdekken, en het heeft me meer tijd gekost om de vendors zover te krijgen dat ze het probleem oplossen," aldus Soghoian.
De beveiligingsonderzoeker raadt gebruikers aan om alle extensies die ze niet via de officile Mozilla extensie pagina hebben gedownload, te verwijderen.
******************
BRON : Security.nl
******************
--------------------------
Miljoenen Firefox gebruikers kwetsbaar door extensies
Miljoenen Firefox gebruikers lopen het risico om gehackt te worden omdat ze allerlei extensies gebruiken. Het gaat met name om commercile third-party extensies, zoals die van Google, Yahoo, Ask, Facebook, LinkedIn, Del.icio.us, Netcraft Anti-Phishing Toolbar en de PhishTank SiteChecker.
In tegenstelling tot alle extensies die Mozilla aanbiedt, zoeken de commercile extensies naar updates op servers die geen https gebruiken. Een aanvaller zou, in het geval van een draadloos netwerk, de update check van de extensie kunnen kapen, en zo een kwaadaardig bestand aanbieden. Op deze manier kan de aanvaller het systeem overnemen of vertrouwelijke gegevens achterhalen.
De ontdekking werd gedaan door Christopher Soghoian, de student die eerder al het nieuws haalde met zijn vliegticketgenerator. "Het is wel erg ironisch dat je door het downloaden van een anti-phishing toolbar je jezelf kwetsbaarder maakt dan als je het niet had gedownload. Het was erg eenvoudig te ontdekken, en het heeft me meer tijd gekost om de vendors zover te krijgen dat ze het probleem oplossen," aldus Soghoian.
De beveiligingsonderzoeker raadt gebruikers aan om alle extensies die ze niet via de officile Mozilla extensie pagina hebben gedownload, te verwijderen.
******************
BRON : Security.nl
******************