The Dutch HackInfo

Information about Hacking, Security & Tweaking

1 1 1 1 1 1 1 1 1 1 Rating 0.00 (0 Votes)
Ongepatchte kwetsbaarheden in zowel Internet Explorer als Firefox werden door eBay-oplichters gebruikt om nepadvertenties te plaatsen en zo gebruikers te duperen. De aanvallers wisten kwaadaardige code op de pagina’s van de veilingsite te injecteren, die weer misbruik van lekken in Firefox en IE maakten. Ondanks het feit dat eBay inmiddels de aanval op de eigen website blokkeert, lopen andere sites die content van derden accepteren nog wel risico.

Door middel van cross-site-scripting (XSS) is het mogelijk JavaScript elementen, die ondergebracht worden op andere websites, te plaatsen in advertenties. Zo plaatsten de aanvallers een link die gebruikers de verkoper naar een aol.com adres laat mailen en gebruikt men ook een cijfergenerator om het objectnummer te wijzigen. Dit nummer is normaliter uniek en wordt gebruikt om fraude te melden. Door het nummer te wijzigen, wordt het lastiger voor eBay om frauduleuze objecten te verwijderen.

Mozilla patcht wel
De aanvallers maakten gebruik van de manier waarop Firefox de XML Binding Language (XBL) implementeert. Door een kwaadaardige cascade style sheet (CSS) aan te spreken, die op een andere website is ondergebracht, laadt de browser de kwaadaardige code. Tussen de ontwikkelaars van Firefox was er een heftige discussie of het hier wel om een beveiligingslek gaat, maar vanwege het misbruik heeft men toch besloten de kwetsbaarheid te patchen. Eén van de ontwikkelaars laat weten dat er een patch komt, maar dat die eBay niet echt zal helpen, tenzij ze de toegestane CSS gaan filteren.

Terwijl Mozilla aangeeft het lek te gaan patchen, zegt Microsoft dat de aanval niet het resultaat is van een lek in Internet Explorer en dat de bestrijding van dit probleem bij de websites in kwestie ligt. "Ons onderzoek toont aan dat het geen lek in onze browser is", aldus woordvoerder Bill Sisk. "In werkelijkheid gebruiken de aanvallers een specifieke functionaliteit van de website om de beveiliging te omzeilen. Deze aanvallen zijn niet nieuw en veel websitebeheerders treffen hier maatregelen tegen”, waarschuwt Sisk.

eBay laat in een reactie weten dat het om een bekende bug in Firefox gaat en men nieuwe dreigingen continu monitort. Toch had de veilingsite meer dan 24 uur nodig om de frauduleuze veiling te verwijderen.
 

You have no rights to post comments


Copyright © 2020. All Rights Reserved.