Browserfunctie maakt browser lek
Onderzoekers waarschuwen voor een techniek die in browsers wordt gebruikt om toepassingen vanuit een browservenster te lanceren. Door ondoordachte implementaties werkt die functie vaak als een lek. Het gaat daarbij om de uniform resource identifier (URI) protocolafhandelingstechniek. Deze kwam eerder in het nieuws door een lek dat ontstond bij het gelijktijdig gebruik van Internet Explorer en Firefox op één pc.
Shutterstock
Shutterstock
In eerste instantie ging het om pogingen tot misbruik waarbij de browser met speciaal geconstrueerde gegevens werd gevoed. Bij nader onderzoek kwamen beveiligingsspecialisten Billy Rios en Nathan McFetters tot de conclusie dat hackers URI-functionaliteit niet alleen kunnen laten ontsporen, maar ook rechtstreeks kunnen aanspreken. Daarbij kwamen ze tot de conclusie dat bij minstens één veelgebruikt programma de URI-functionaliteit zo geïmplementeerd is dat een hacker door gebruik te maken van een legitieme functie van die software gegevens van de doelcomputer kan uploaden naar een server van zijn keuze. Uit beveiligingsoverwegingen is de identiteit van dat stuk software nog niet bekendgemaakt.