LINUX.ORG.RU

Обнаружена новая уязвимость в Mozilla Firefox

 , ,


2

4

Позавчера, 5 августа, пользователь Firefox сообщил Mozilla о рекламе на неназванном российском новостном сайте, которая, эксплуатируя уязвимость в браузере, передавала данные пользователей на украинский сервер.

Как утверждается в блоге Mozilla, уязвимость появилась в результате использования механизма, который обеспечивает «принцип одинакового источника» (политика, которая разрешает сценариям, находящимся на страницах одного сайта, доступ к методам и свойствам друг друга без ограничений, но предотвращает доступ к большинству методов и свойств для страниц на разных сайтах) и просмотрщика PDF, встроенного в браузер. Уязвимость не касается версий Firefox, где просмотрщика PDF нет — например, на Android.

Эксплоит не позволяет запускать произвольный код, но позволяет скачивать файлы пользователей. Таким образом злоумышленники охотились за учетными данными Amazon S3, паролями FTP-клиентов, содержимым /etc/passwd. Атака была нацелена на пользователей Windows и Linux, однако версия Firefox для Mac OS X также уязвима.

Было оперативно выпущены обновления Firefox 39.0.3 и Firefox ESR 38.1.1, исправляющие данную уязвимость.

>>> Запись в блоге Mozilla



Проверено: Shaman007 ()
Последнее исправление: CYB3R (всего исправлений: 3)
Ответ на: комментарий от anonymous

Это инвалид бай дизайн. Просто идеальный эксплойт, тупо бекконнект с блекджеком и девицами.

Ну, например можно переписать метод - если он не защищен свойством (типа writable: false), обычное дело для динамической типизации.

Но не столько страшен код, насколько дебилы которые разрешают фулл аксесс из сети.

invokercd ★★★★
()
Последнее исправление: invokercd (всего исправлений: 1)
Ответ на: комментарий от AX

Сказал пользователь мертвого комбаина.

Или ты перешёл с некрооперы на недохром и комбаины перестали нравиться, лол?

derlafff ★★★★★
()
Ответ на: комментарий от anonymous

С фига ли? Права файлосистемы никто не отменял.

так наиболее уязвимы не сервера а, как раз таки, эти ваши юзерские компы, в основном под оффтопиком. И тырит експлойт как раз эти самые юзерские данные, которые ессно хотя-бы на чтение доступны юзверю. Собсно, если почитать источник новости - експлойт в основном шурует в профиле пользователя, в поисках всяких .bash_history и прочих интресных файликов, а под оффтопиком тырит всякие файлы с паролями из того же самого профиля юзверя.

Но так то никто ведь не мешал написать експлойт, который сканирует вообще все доступные имена файлов и дерево каталогов, тырит наиболее интересно автоматом а список чего есть на дисках - отдаёт хозяину. Если того что-то заинтересует - файлики скачаются когда юзверь в очередной раз зайдёт на страницу со зловредом.

Sagrer
()
Ответ на: комментарий от Sagrer

тырит експлойт как раз эти самые юзерские данные
ко всем файлам на компе

Ну ты понял. А так, да.

Но так то никто ведь не мешал написать експлойт, который сканирует вообще все доступные имена файлов и дерево каталогов, тырит наиболее интересно автоматом а список чего есть на дисках - отдаёт хозяину.

Я не смотрел, что там ещё этот их жабоскрипт умеет, а в той апи, на которую я ссылку давал, надо путь к файлу ручками указывать. Про сканирование ничего не видел.

anonymous
()
Ответ на: комментарий от invokercd

Я тебя не распарсил. Какой бекконект, какой метод ты собрался перезаписать? Ну и да, намеренно фулл аксесс из сети никто не разрешал.

anonymous
()
Ответ на: комментарий от anonymous

Простой бекконнект - браузер сам коннектится на нужный сервак и сливает пользовательские данные (какие именно - легко решается предварительным запросом на тот же сервак)

Ты спросил как так сделали - я и ответил - тупо переписали метод pdf.js (я так думаю). Хотя мозилла как обычно нихера не предоставила инфы по поводу связи CORS и pdf.js.

намеренно фулл аксесс

ну да, все произошло без ведома разрабов

invokercd ★★★★
()
Ответ на: комментарий от invokercd

Простой бекконнект - браузер сам коннектится на нужный сервак и сливает пользовательские данные

И что мешает встроить мозиловцам этот твой бекконект напрямую в с++? Или до тебя ещё не допёрло, что этот код обычная вебстраница запустить просто так не может?

Ты спросил как так сделали - я и ответил - тупо переписали метод pdf.js (я так думаю).

Для этого им сначала как-то надо было получить доступ к методу pdf.js. Это не предусмотрено и вроде как даже не тривиально. Вот я и спрашиваю, как так сделали?

anonymous
()
Ответ на: комментарий от anonymous

мозиловцам

Я не про них, а про авторов расширений которые могу ставиться и не с офсайта мозиллы.

обычная вебстраница

Это как? Есть обычные, не обычные, и не совсем обычные? Ты об чём?

Вот я и спрашиваю, как так сделали?

Говнокод? Глобальные переменные?

Спроси об этом у мозиллы лучше, хотя они то вряд ли скажут.

invokercd ★★★★
()

/etc/passwd

А что, где-то ещё в passwd хранят пароли?

WatchCat ★★★★★
()

Назовите сайт то уже.

anonymous
()
Ответ на: комментарий от invokercd

Я не про них, а про авторов расширений которые могу ставиться и не с офсайта мозиллы.

Ты и обычные программы можешь ставить не из репозитория. Неча на мозилу пенять, коли ссзб.

Это как? Есть обычные, не обычные, и не совсем обычные? Ты об чём?

О жабоскрипте в обычных вебстраницах и жабоскрипте в браузере. Видишь ли, жабоскрипт в обычных вебстраницах может читать файл, если ты задашь путь к файлу руками. А жабоскрипт в браузере может тот же файл тебя не спрашивая. И по идее жабоскрипт вебстраницы никак не должен получать доступа к жабоскрипту браузера. Но как-то получил. Мне это интересно.

Говнокод? Глобальные переменные?

Без обид, но твои гадания мне не интересны.

Спроси об этом у мозиллы лучше, хотя они то вряд ли скажут.

Скажут, когда все обновятся.

anonymous
()

Позавчера, 5 августа, пользователь Firefox сообщил Mozilla о рекламе на неназванном российском новостном сайте, которая, эксплуатируя уязвимость в браузере, передавала данные пользователей на украинский сервер.

Атака была нацелена на пользователей Windows и Linux, однако версия Firefox для Mac OS X также уязвима.

ТСа с лексусом спалили?

Таким образом злоумышленники охотились за учетными данными Amazon S3, паролями FTP-клиентов, содержимым /etc/passwd

Эпичное решето. Теперь тормозилла по её же логике должна заблокировать саму себя.

Уязвимость не касается версий Firefox, где просмотрщика PDF нет

А если это говно есть но, хвала Луне, pdfjs.disabled=true — сабжевая уязвимость тоже не касается?

h578b1bde ★☆
()
Ответ на: комментарий от smilessss

«новая, очередная»

Это же девиз жирнолиса — ни дня без новья!

h578b1bde ★☆
()
Ответ на: комментарий от anonymous

И по идее жабоскрипт вебстраницы никак не должен получать доступа к жабоскрипту браузера.

По идее браузер не должен иметь возможности отсылать юзерфайлы куда-то. Ибо это изначальное решето, тем более если аддоны это могут делать.

invokercd ★★★★
()

Я правильно понимаю, что убунту-юзеры не пострадали благодоря AppArmor?

kwinto
()
Ответ на: комментарий от Kaschenko

Что именно ты имеешь ввиду?

Разве вы с лексусом не подрабатываете агрегацией контента с российских новостных сайтов?

h578b1bde ★☆
()
Ответ на: комментарий от invokercd

По идее браузер не должен иметь возможности отсылать юзерфайлы куда-то.

Упоролсо? Ты как свою аватарку на мой лорчик загрузил?

anonymous
()
Ответ на: комментарий от invokercd

Я про переписывание CORS для аддонов

Какой нафиг цорс может быть у аддонов? Они тебе что, на локалхост должны реквесты слать?

anonymous
()
Ответ на: комментарий от anonymous

facepalm

йопта, я про то, что нельзя читать локальные файлы и слать их через ajax даже аддонам и даже если они официальные

invokercd ★★★★
()
Ответ на: комментарий от Kaschenko

Они - это аддоны? Если да, тогда им не нужно лезть дальше ~/.mozilla, не?

Хотя я слабо представляю зачем это делать расширениям, если ff и так умеет синкать закладки сам, тоже можно делать и с другими данными юзера.

invokercd ★★★★
()
Последнее исправление: invokercd (всего исправлений: 1)
Ответ на: комментарий от Kaschenko

Ну так это его проблема

Не стоит ее решать отверстием в безопасности

invokercd ★★★★
()

сделал дебильд и сразу же замерджил

Deleted
()
Ответ на: комментарий от anonymous

Вон в доках написано, что браузерный жабокод имеет доступ к файлосистеме.

No comments, я худею. Мозилла для меня умерла сегодня навсегда.

anonymoos ★★★★★
()
Ответ на: facepalm от invokercd

йопта, я про то, что нельзя читать локальные файлы и слать их через ajax

Это хтмл5, детка.

anonymous
()
Ответ на: комментарий от invokercd

а ничё что если бы мозилла не ложила на cors в случае с аддонами то всё было бы в порядке?

Ты уже разобрался, в чём был баг или чо? Тогда рассказывай.

И ещё раз тебя спрашиваю, какой нахрен цорс может быть у аддонов? Где там мозила что положила и как оно по твоему должно быть?

anonymous
()
Ответ на: комментарий от anonymous

Ок анон, попробуй браузером вывести в console.log ~/.ssh/authorized_keys или тем более отправить c помощью ajax куда-либо.

Получилось? Тогда какого хера pdf.js может это делать, так понятнее?

invokercd ★★★★
()

2 TS && h578b1bde: чтбы ваша личная переписка не была такой уж личной, кинули бы ссылок на предысторию, ась?

dexpl ★★★★★
()
Ответ на: комментарий от invokercd

Ок анон, попробуй браузером вывести в console.log ~/.ssh/authorized_keys

Вывел.

или тем более отправить c помощью ajax куда-либо.

Сервер влом настраивать.

Получилось?

Да.

Тогда какого хера pdf.js может это делать, так понятнее?

Объясняю для томозов. W3 написало стандарт, как вебстраница жабоскриптом может прочитать файлы с файлового диска пользователя. pdf.js написан на жабоскрипте, поэтому он может так делать. Поскольку pdf.js не просто вебстраница, а «аддон», он может это делать не спрашивая пользователя. Надеюсь до тебя допёрло.

Теперь в третий раз тебя спрашиваю, чего ты там гугукал про цорс? Напряги кость и рассказывай наконец.

anonymous
()
Ответ на: комментарий от anonymous

получается существование аддона подразумевает дыру без возможности оную закрыть на долго, браузер убивает сам себя получается, так?

anonymous
()
Ответ на: комментарий от anonymous

получается существование аддона подразумевает дыру без возможности оную закрыть на долго, браузер убивает сам себя получается, так?

нет

anonymous
()

Ну вот, теперь и под линуксом можно поймать вирус, просто зайдя на сайтик, даже без жавы и флеша. А вы еще ослика ругали за то же самое.

Lordwind ★★★★★
()

Хм, это же какая-то эпичная дыра. Но если у меня pdf.js был отключен, я ей не был подвержен? Поясните кто-нибудь.

fludardes ★★
()
Ответ на: комментарий от anonymous

Хватит тупить. Я где-то писал про <input>?

Еще раз для особо одарённых, покажи код которым ты считал локальный файл (безо всякий подтверждений со стороны пользователя естественно).

invokercd ★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.