LINUX.ORG.RU

Обнаружена новая уязвимость в Mozilla Firefox

 , ,


2

4

Позавчера, 5 августа, пользователь Firefox сообщил Mozilla о рекламе на неназванном российском новостном сайте, которая, эксплуатируя уязвимость в браузере, передавала данные пользователей на украинский сервер.

Как утверждается в блоге Mozilla, уязвимость появилась в результате использования механизма, который обеспечивает «принцип одинакового источника» (политика, которая разрешает сценариям, находящимся на страницах одного сайта, доступ к методам и свойствам друг друга без ограничений, но предотвращает доступ к большинству методов и свойств для страниц на разных сайтах) и просмотрщика PDF, встроенного в браузер. Уязвимость не касается версий Firefox, где просмотрщика PDF нет — например, на Android.

Эксплоит не позволяет запускать произвольный код, но позволяет скачивать файлы пользователей. Таким образом злоумышленники охотились за учетными данными Amazon S3, паролями FTP-клиентов, содержимым /etc/passwd. Атака была нацелена на пользователей Windows и Linux, однако версия Firefox для Mac OS X также уязвима.

Было оперативно выпущены обновления Firefox 39.0.3 и Firefox ESR 38.1.1, исправляющие данную уязвимость.

>>> Запись в блоге Mozilla



Проверено: Shaman007 ()
Последнее исправление: CYB3R (всего исправлений: 3)
Ответ на: комментарий от Lordwind

ослика ругали

Я вот сегодня палочкой потрогал Edge в windows 10, так там вообще ничего нет - вот она секурность :D

fornlr ★★★★★
()
Ответ на: комментарий от Kaschenko

Спасибо. Так и знал, что лучше выключать всё, что выключается.

fludardes ★★
()
Ответ на: комментарий от anonymous

Просто до некоторых долго доходит что локалхост - тоже ресурс и на него распространяется cors. Ну да ладно, меня больше интересует когда уже мозилла выложит причину такого упорина.

invokercd ★★★★
()
Ответ на: комментарий от sudopacman

ЗЫ. Утром лиса до 39.0.3 обновилась. Это был фикс этой уязвимости ?

Да.

ktulhu666 ☆☆☆
()
Ответ на: комментарий от Anatolik

смешно, в россии новости)) о чем новости, да еще и в россии ?

anonymous
()
Ответ на: комментарий от invokercd

Хватит тупить.

Тон убавь, школьник. Я тут на тебя время трачу, пытаюсь отвечать на вопросы, которые ты не в состоянии правильно сформулировать. Тебе я три раза вопрос задал, ты всё еще его не осилил. И ты тут еще что-то тявкать смеешь?

Ок анон, попробуй браузером вывести в console.log ~/.ssh/authorized_keys или тем более отправить c помощью ajax куда-либо.

Где тут стоит «безо всякий подтверждений»? Я не вижу.

Но для тебя ещё раз повторяю, жабоскрипт идущий вместе с браузером имеет привилегии. Он может прочитать файлы не спрашивая пользователя. Я это уже писал здесь и здесь. Почитай, блджад, документацию, там ссылка есть.

Всё, я от тебя устал. Пока не осилишь нормально описать, что ты там про цорс вякал, можешь быть свободен.

anonymous
()
Ответ на: комментарий от Klymedy

Мазила как всегда ничего не говорит, но 38 и 39 точно. А так, видимо, все версии с pdf.js.

Kaschenko
() автор топика
Ответ на: комментарий от anonymous

Да как нет, если контекст джаваскрипта расширен до локальных файлов?

AVL2 ★★★★★
()

Эпичная дыра. Просто издевательство над здравым смыслом...

AVL2 ★★★★★
()

Из-за сраных мантейнеров которые собрали iceweasel 39.0.3 новым gcc, и кроме того собрали только часть kde5, мне расхреначило все 4е кеды. Пичалька.

ptah_alexs ★★★★★
()
Ответ на: комментарий от anonymous

omg..какой ты тупой, я и так знаю что он имеет привелегии. Мне все таки интересно увидеть твой код (которого конечно же нет) как ты ajax-ом будешь читать локальные файлы :D

Отдыхай уже, лузер.

invokercd ★★★★
()

Современные браузеры - решето by design.

anonymous
()

JS - это троян.

anonymous
()
Ответ на: комментарий от anonymous

PDF.js предельно безопасен, говорили они, в отличие от нативных просмотрщиков, говорили они.

презерватив as a service

anonymous
()
Ответ на: комментарий от invokercd

я и так знаю что он имеет привелегии. Мне все таки интересно увидеть твой код (которого конечно же нет) как ты ajax-ом будешь читать локальные файлы :D

*facepalm*

Нет, хватит,

Пока не осилишь нормально описать, что ты там про цорс вякал, можешь быть свободен.

anonymous
()
Ответ на: комментарий от mashina

Да, вместе с просмотрщиком видео.

Кнопка «download» - это наше всё.

anonymous
()
Ответ на: комментарий от Klymedy

А как версии IceCat привязаны к ESR?
ESR последний - 38.1.1, IceCat - 31.8.0

anonymous
()
Ответ на: комментарий от anonymous

Расширения я ставлю в песочницу, которая оказалась ёбаным решетом. Обычные программы ставятся не в песочницу, поэтому к ним более осторожное отношение.

anonymous
()
Ответ на: комментарий от anonymous

блджад

Отправить локальный файл только с помощью ajax НЕВОЗМОЖНО именно из-за CORS. В тоже время pdf.js может это сделать, нарушая тем самым cors, достаточно разжевал?

То что ты через input браузером выбрал файл а уже потому отправил его - это немного разные вещи, не находишь?

invokercd ★★★★
()
Ответ на: комментарий от invokercd

По идее браузер не должен иметь возможности отсылать юзерфайлы куда-то.

Сама концепция веб приложений основана на постулате, что you are our's bitch.

anonymous
()

насколько я понял, делается что-то такое:

var w=window.open('http://www.example.com/file.pdf','pdf','width=1,height=1');

Теперь в переменной w у нас PDF.js и мы имеем доступ к его методам и свойстам (так ли?).

Предположим, у PDF.js метод, который открывает файл, называется loadPDF, тогда:

w.loadPDF('/home/user/.ssh/id_rsa');

Дальше, из w читаем содержимое и отправляем на наш сервер.. Поправьте, где не прав

JS знаю плохо

r0ck3r ★★★★★
()
Последнее исправление: r0ck3r (всего исправлений: 1)
Ответ на: комментарий от Deleted

На нестабильной ветке обычно всё стабильно, такая неприятность бывает не часто. Но все равно неприятно.

ptah_alexs ★★★★★
()
Ответ на: комментарий от anonymous

W3 написало стандарт, как вебстраница жабоскриптом может прочитать файлы с файлового диска пользователя

Приличный браузер должен вертеть такой стандарт на МПХ пользователя.

anonymous
()
Ответ на: комментарий от invokercd

Отправить локальный файл только с помощью ajax НЕВОЗМОЖНО именно из-за CORS. В тоже время pdf.js может это сделать, нарушая тем самым cors, достаточно разжевал?

Хоспаде. Чувак, загугли, что такое cors. Потому что я тебя реально не понимаю. Может ты имеешь ввиду same origin policy? Если что, cors - это механизм для обхода sop.

anonymous
()
Ответ на: комментарий от anonymous

omg...Cross-origin resource sharing

Специально для тебя: localhost - это тоже ресурс (внезапно!) и на него действуют правила CORS (опять же внезапно). Поэтому в ответ на попытку отправки локального файла ajax-ом получаем: Origin null is not allowed by Access-Control-Allow-Origin

invokercd ★★★★
()

Бывают ли браузеры, в которых можно разрешить только безопасную часть JS?

anonymous
()
Ответ на: комментарий от anonymous

Безопасная часть JS это такая, которая не выполняется…

Deleted
()
Ответ на: комментарий от anonymous

Это нечто достаточное для работы большей части викимапии и яндекс-маркета, но без выхода за рамки интерактивного гипертекста. То есть доступ к вебкамере/микрофону/дискам сразу вычёркиваем, но я затрудняюсь формализовать невозможность майнить биткойны.

anonymous
()
Ответ на: комментарий от anonymous

То есть доступ к вебкамере/микрофону/дискам сразу вычёркиваем

Это стандарт. Все популярные браузеры будут его поддерживать.

Тоже глянь palemoon. Я сам не смотрел, а в новостях пишут, мол это лиса, из которой ненужности пытаются выпилить.

anonymous
()
Ответ на: комментарий от anonymous

Тоже глянь palemoon

У меня IceCat. Чем они отличаются? Вроде бы оба лучше обычного ФФ, но я не видел сравнений.

anonymous
()

Хочется верить, что NoScript+uBlock+Policeman и отключенный PDF.js, а так же непосещение новостных сайтов — это достаточные меры безопасности. P.S. Спасибо beastie за чистку.

sluggard ★★★★★
()
Ответ на: комментарий от Zmicier

Вот. Уже что-то. Не хватает инфы о сайте и рекламной сети, которая там использовалась. Есть предположение, что это могла быть рекламная сеть Гугла, есть инфа, что уже больше года там кто-то научился встраивать свой js в объявления. Но Гугл ничего с этим не делает.

th3m3 ★★★★★
()
Ответ на: комментарий от fornlr

Я вот сегодня палочкой потрогал Edge в windows 10, так там вообще ничего нет - вот она секурность :D

И выкусить его нельзя. Снова в монополию.

dodevich
()

Вот по этому и следует использовать MAC (тот же Apparmor или SELinux), хранить ssh ключи не в стандартном месте и использовать 2FA и пароль для открытия самого ключа (и я не думаю, что ввести путь для ключа супер сложное занятие, тем более если их несколько).
Я еще полгода назад наблюдал что-то подобное, на браузере с флешем. Когда Apparmor сыпал про DENIED c passwd и директорией с ssh ключами в путях.
И да песочница того же Chromium это тоже не повод не использовать MAC, это конечно усложняет аттаки в некоторой степени, но все равно все файлы доступные на чтение юзером под котором запущен браузер потенциально могут читаться браузером и отправляться куда-либо в случае использования подобных уязвимостей.
Алсо отключил этот pdf.js сразу же как он появился.

Позавчера, 5 августа, пользователь Firefox сообщил Mozilla о рекламе на неназванном российском новостном сайте

Что за сайт? lenta.ru?
Алсо можно атаковывать, только пользователей с включенным pdf.js

anonymous_sama ★★★★★
()

о рекламе на неназванном российском новостном сайте, которая, эксплуатируя уязвимость в браузере

так, давайте-ка название сайта в студию! Страна должна знать своих «героев»!

Может, уже называли, но четыре страницы комментариев я не осилил

Dominat ★★
()
Ответ на: комментарий от invokercd

По идее браузер не должен иметь возможности отсылать юзерфайлы куда-то.

То есть задачу прикрепления локального файла к html форме можно сразу вычеркивать из обращения.

TEX ★★★
()
Ответ на: комментарий от MrClon

Это только у PDF.js такая привилегия, доступ к ФС, или что? И если дырка в PDF.js то при-чём тут Some origin?

Любой JS запущенный с диска имеет доступ к любому файлу и может его аплоадить куда угодно.

aidaho ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.