Aladdin waarschuwt voor webpagina's in cache bij zoekmachines
IJsselstein, 6 december 2007 - Het eSafe Content Security Response Team (CSRT) van Aladdin heeft een nieuwe kwetsbaarheid ontdekt in de cachefuntionaliteit van grote zoekmachines zoals Google, MSN Live en Yahoo!. De meeste zoekmachines blijken de veiligheid van codes van webpagina's in het cachegeheugen niet te verifiëren. Webpagina's worden opgeslagen met embedded scripts en HTML-code. Deze kunnen echter kwaadaardige software bevatten.
Als de website is veranderd bijvoorbeeld vanwege beveiligingsissues, dan bestaat de kans dat er nog steeds een oude versie van de site in het cachegeheugen zit. Zelfs als de webpagina's zijn verwijderd, geblokkeerd door een URL-filter of op de zwarte lijst van een ISP staan, dan is de site in het cachegeheugen nog steeds toegankelijk. Gebruikers hoeven hiervoor alleen maar op de link 'in cache' te klikken op de pagina met zoekresultaten.
URL-filters omzeilen
Kwaadwillenden kunnen hierdoor gefaseerde aanvallen opzetten waarbij links, automatische pop-ups of onzichtbare frames met kwaadaardige code van de pagina in het cachegeheugen worden gedownload. Hiermee kunnen zij ook URL-filters omzeilen die bijvoorbeeld Google-pagina's niet blokkeren.
Het eSafe CSRT ontdekte de kwetsbaarheid tijdens een analyse van content van een gehackte website. De website was in dit geval aangepast, maar de kwaadaardige content bleek nog steeds toegankelijk en actief via het cachegeheugen van zoekmachines.
Over Aladdin
Aladdin Knowledge Systems (Nasdaq: ALDN), gevestigd in Tel Aviv (Israël), houdt zich als internationaal marktleider op het gebied van internet- en softwarebeveiliging bezig met oplossingen voor een veilig gebruik en veilige distributie van digitale content: van applicatiesoftware tot en met internetgebruik en -toegang. Aladdins klanten zijn software-vendors en organisaties die hun medewerkers een veilige toegang tot het internet bieden, inclusief bescherming van de eigen bedrijfsinformatie en -productiviteit. Meer informatie is te vinden op Aladdins website www.Aladdin.com of via de Benelux-vestiging van Aladdin in IJsselstein.
Voor meer informatie of een interview met een expert van Aladdin's CSRT:
Whizpr
Chantal Schepers
Tel: +31 (0)317 410 483
aladdin(at)whizpr.nl