Foute URI-encoding IE maakt XSS-aanval mogelijk

Met behulp van een fout in Internet Explorer zijn XSS-aanvallen mogelijk via de URI-invoer. Omdat dubbele quotes verkeerd kunnen worden geïnterpreteerd kan extra code worden toegevoegd.

Het is mogelijk een XSS-aanval uit te voeren met behulp van Internet Explorer, omdat Microsoft zich niet aan de standaard houdt voor URI-encoding. Dat zegt Rob Rachwald van beveiligingsbedrijf Imperva. Volgens de onderzoeker moeten web-ontwikkelaars dan wel de URI-encoding in hun eigen code hebben weggelaten. Rachwald verwacht dat veel ontwikkelaars hier niet op letten, omdat de meeste andere browsers dit probleem wel goed afdekken.

De onderzoeker beschrijft in een blogpost dat Internet Explorer zich niet houdt aan de standaard die is vastgelegd in RFC 3986 van de Internet Engineering Task Force. Daarin is beschreven dat sommige tekens in een URI-request een speciale waarde hebben en kunnen bepalen hoe een bestand moet worden geopend. Er kan bijvoorbeeld worden verwezen naar een mailapplicatie als de link begint met 'mail://'.

Afhankelijk van webontwikkelaar
Als tekens geen speciale waarde hebben moeten ze worden geëncodeerd. Het probleem dat Rachwald beschrijft zit juist daar: door misbruik te maken van de manier waarop Internet Explorer omgaat met double quotes ("), kan een kwaadwillende extra javascript-code aan die link toevoegen. Op die manier kan dus een XSS-aanval worden uitgevoerd.

Een succesvolle aanval is nog wel afhankelijk van de website-ontwikkelaar. De URI moet in het script nog een keer gecheckt moeten worden op encoding, alleen bij sites die dat niet doen is het lek uit te buiten.

'Geen beveiligingsupdate'
Het probleem ligt dus bij ontwikkelaars die hun code niet op orde hebben, maar is alleen te misbruiken via Internet Explorer. Rachwald wijst erop dat Firefox en Chrome het wel goed regelen en dat ontwikkelaars er daarom misschien minder scherp op zijn.

Microsoft heeft al aan Rachwald laten weten dat er niet onmiddellijk een beveiligingsupdate komt. "We zijn hier van op de hoogte en we kijken er naar of we het moeten wijzigen in toekomstige versies. Het is niet iets dat we zien als veiligheidslek waarvoor we een update zouden moeten uitbrengen", schrijft het softwarebedrijf aan Rachwald.