Abonneer je gratis op Techzine!

Onderzoekers slaan alarm vanwege een nieuwe browserexploit genaamd Clickjcaking die alle populaire webbrowsers treft. Het gaat hier om Windows Internet Explorer, Mozilla Firefox, Apple Safari en Opera. Ook Adobe Flash zou getroffen zijn.

De bedreiging genaamd Clickjacking zou worden gepresenteerd op de AppSec 2008-conferentie. Op verzoek van Adobe en andere fabrikanten werd de presentatie echter opgeschort, zodat ontwikkelaars een kans kregen het lek te verhelpen. De twee onderzoekers genaamd Robert Hansen en Jeremiah Grossman die het zero-daylek ontdekten, hebben dan ook slechts kleine beetjes informatie uitgebracht.

Clickjacking stelt een aanvaller in staat om elke link op een kwaadaardige webpagina aan te klikken zonder dat de gebruiker hier ook maar iets van merkt. Het probleem heeft niets te maken met JavaScript, maar kan wel de aanval vereenvoudigen. Volgens de onderzoekers is het een fundamentele fout die niet een twee drie opgelost kan worden.

Zowel Mozilla als Microsoft hebben onafhankelijk op het lek gereageerd en erkennen dat het probleem lastig te verhelpen is. Zowel Mozilla Firefox 3.0 als Internet Explorer 8.0 Beta 2 en lagaer zijn vatbaar voor de problemen. Het beste wat gebruikers op dit moment kunnen doen is scripting en plug-ins uitzetten. "We beseffen dat we mensen niet veel technische details geven om mee te werken, maar dit is het beste wat we nu kunnen doen," vertelt Grossman.

Het gebruik van NoScript helpt enigszins, maar ook de makers van die plug-in bevestigen dat het lek zeer ernstig is en bijna onmogelijk is om op te lossen. Voor optimale beveiliging adviseren de makers om de functie Plugins|Forbid IFRAME van NoScript in te schakelen. Ook vertelden ze dat de enige webbrowser niet getroffen door de problemen Lynx lijkt te zijn.