Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Megint jön az armageddon...

2009.01.14. 15:26 | buherator | 3 komment

Súlyos biztonsági rést találtak a böngészőkben

A hiba a Javascript nyelvet kezelő modulban van, és minden nagyobb böngészőt érint. A kihasználásával kihagyható az adathalász támadásokból az emailes beetető fázis, ahol a legtöbb ilyen próbálkozás elbukik a spamszűrőn vagy a felhasználó gyanakvásán.

Arról van szó, hogy a Trusteer megnézte, hogy az egyes banki oldalakon miből látszik, hogy valaki be van-e lépve a fiókjába, ezen a listán végigzavarják a szkriptjüket, ami minden oldalt letölt, és ellenőrzi, hogy az aktuális felhasználó be van-e jelentkezve az adott szolgáltatásba, és ha igen, akkor feldob egy pop-up ablakot az aktuális bank designjával, amiben bekéri a hozzáférési adatokat. Innentől a sztori ismerős.

Az adathalászathoz eddig is elég volt egy-egy feltört oldal, de a spam kétség kívül megdobta a kampányok hatékonyságát. Ez valószínűleg most sem fog változni. A csavar ugyebár ott van, hogy hogyan ellenőrizzük, hogy valaki be van-e lépve egy adott szolgáltatásba. Nos, erre már láttunk példát, de a Trusteer azt állítja, hogy egy még hatékonyabb módszert talált. Ezt persze kíváncsian várjuk, de hanyattesni azért nem kell: ez is csak egy adathalász támadás, nem muszáj neki bedőlni.

Címkék: index adathalászat

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

synapse · http://www.synsecblog.com 2009.01.14. 15:52:59

FUD

Budos parasztok

Komolyan, ez az itsec lassan rosszabb lesz mint a "Celeb vagyok"

synapse

buherator · http://buhera.blog.hu 2009.01.14. 16:20:18

Köszönöm synapse, ezt a szót kerestem! Csak már haldoklik az agyam...

keeroy · http://music.blog.hu 2009.01.14. 18:19:20

Gratulálok az index címlaphoz!