Ik twijfelde of ik het zou posten (alvorens Phunc zn kritiek begint), maar het leek me wel interessant ter informatie
Al veertien dagen geleden waarschuwden veiligheidsexperts dat de drag-and-drop bug in Internet Explorer extreem gevaarlijk is. De onderzoeker met schuilnaam http equiv toonde aan hoe je door het verslepen van een afbeelding op een webpagina, ongemerkt een virus of andere kwaadaardige software op de pc installeert. Omdat de bug interactie van de gebruiker vereist, oordeelde Microsoft dat het "niet extreem gevaarlijk" was. Twee weken later is het tegendeel bewezen.
In de proof of concept-demonstratie van http equiv moest de gebruiker nog een afbeelding tussen twee rode lijntjes slepen om zijn pc te besmetten. Intussen heeft iemand uitgedokterd hoe hetzelfde effect ook met de standaardschuifbalken van de Internet Explorer bereikt kan worden. Het resultaat is onthutsend: zolang de computergebruiker geen maatregelen neemt, zijn in theorie alle webpagina's potentieel gevaarlijk.
De truc bestaat erin om een doorzichtige afbeelding vlak boven de verticale schuifbalk te plaatsen. De webpagina bevat een tekst die niet op één scherm past, zodat de gebruiker automatisch naar de schuifbalk grijpt. Op dat moment schiet een script in actie dat eender welke kwaadaardige software installeert. Doordat een JavaScript het echte gedrag van de schuifbalk nabootst, heeft de gebruiker niets in de gaten. De truc werkt overigens niet als je het scrollwieltje op de muis gebruikt.
Dit misbruik van de drag-and-drop bug in Internet Explorer is reeds gesignaleerd. In sommige nieuwsgroepen werden berichten gepost over de zogezegde dood van terroristenleider Osama Bin Laden. Voor foto's verwijst het bericht door naar de website: http://www.theparadise.x-y.net. WAARSCHUWING: wie die website bezoekt met IE en de schuifbalk aanklikt, installeert een Trojaans paard dat via IRC een verbinding maakt met een server in de V.S.!
Hoewel het maar een kwestie van tijd was voor slimme hackers de bug zouden misbruiken, vond Microsoft dat de fout "niet extreem gevaarlijk is gezien de vele handelingen van de gebruiker die nodig zijn om de aanval uit te voeren". De fout kan voorlopig enkel opgelost worden door de beveiligingsinstellingen van Internet Explorer op 'hoog' te zetten, zodat alle vormen van scripting uitgeschakeld worden. Helaas worden veel sites daardoor ook moeilijk toegankelijk. Een andere oplossing is overschakelen op een alternatieve browser zoals Firefox of Opera.
©http://www.zdnet.be/news.cfm?id=38998
