Microsoft wil CSP-kwetsbaarheid in Edge niet dichten

Microsoft is niet van plan een kwetsbaarheid in de webbrowser Edge te dichten. Het gaat om een kwetsbaarheid waarmee aanvallers de Content Security Policy (CSP) die is ingesteld door een webserver kunnen omzeilen, wat ertoe kan leiden dat vertrouwelijke informatie van gebruikers kan worden onderschept.

Dit meldt de Talos Security Intelligence and Research Group van Cisco. CSP is een mechanisme dat is ontworpen om Cross Site Scripting aanvallen tegen te gaan door servers te whitelisten die als legitieme bronnen gebruikt mogen worden voor de client side webapplicatie code. Onderzoekers van de Cisco hebben echter een manier gevonden om de CSP te omzeilen. Hierbij wordt gebruik gemaakt van een kwaadaardige webpagina die specifiek is geschreven voor een specifieke webbrowser.

‘Serieus probleem’

“Informatie disclosure kwetsbaarheden zijn wellicht niet zo serieus als kwetsbaarheden die de aanvaller in staat stellen op afstand code uit te voeren en aan de browser sandbox te ontsnappen om toegang te krijgen tot en controle over het aangevallen systeem”, schrijft Talos op zijn blog. “XSS aanvallen die een aanvallen in staat stellen vertrouwelijke data te onderscheppen en zelfs een gebruikersaccount over te nemen worden gezien als een serieus probleem. CSP is specifiek ontworpen met het oog op het voorkomen van XSS-aanvallen en stelt de server in staat vertrouwde bronnen die veilig uitgevoerd kunnen worden door een webbrowser te whitelisten.”

Talos wijst erop dat veel ontwikkelaars op CSP vertrouwen om hen te beschermen tegen XSS en andere aanvallen waarbij data kan uitlekken, en erop vertrouwen dat webbrowsers de standaard vertrouwen. De implementatie van CSP binnen verschillende webbrowsers varieert echter en stelt in sommige gevallen aanvallers in staat browserspecifieke code te schrijven om de CSP te omzeilen en de bron van de toegestane code zelf te definiëren.

Meerdere webbrowsers zijn kwetsbaar

De kwetsbaarheid in kwestie is aangetroffen in:

• Google Chrome tot versie 57.0.2987.98 - (CVE-2017-5033)
• iOS tot versie 10.3 - (CVE-2017-2419)
• Apple Safari tot versie 10.1 - (CVE-2017-2419)
• Microsoft Edge

Google en Apple hebben de kwetsbaarheid inmiddels gedicht. Microsoft stelt echter dat de kwetsbaarheid onderdeel is van het ontwerp van Edge en wil het beveiligingslek dan ook niet dichten. Talos adviseert gebruikers een webbrowser te kiezen die het CSP mechanisme volledig ondersteund en waarin alle nieuw ontdekte beveiligingslekken zijn verholpen, inclusief deze nieuw ontdekte kwetsbaarheid.