LINUX.ORG.RU

Обнаружена новая уязвимость в Mozilla Firefox

 , ,


2

4

Позавчера, 5 августа, пользователь Firefox сообщил Mozilla о рекламе на неназванном российском новостном сайте, которая, эксплуатируя уязвимость в браузере, передавала данные пользователей на украинский сервер.

Как утверждается в блоге Mozilla, уязвимость появилась в результате использования механизма, который обеспечивает «принцип одинакового источника» (политика, которая разрешает сценариям, находящимся на страницах одного сайта, доступ к методам и свойствам друг друга без ограничений, но предотвращает доступ к большинству методов и свойств для страниц на разных сайтах) и просмотрщика PDF, встроенного в браузер. Уязвимость не касается версий Firefox, где просмотрщика PDF нет — например, на Android.

Эксплоит не позволяет запускать произвольный код, но позволяет скачивать файлы пользователей. Таким образом злоумышленники охотились за учетными данными Amazon S3, паролями FTP-клиентов, содержимым /etc/passwd. Атака была нацелена на пользователей Windows и Linux, однако версия Firefox для Mac OS X также уязвима.

Было оперативно выпущены обновления Firefox 39.0.3 и Firefox ESR 38.1.1, исправляющие данную уязвимость.

>>> Запись в блоге Mozilla



Проверено: Shaman007 ()
Последнее исправление: CYB3R (всего исправлений: 3)
Ответ на: комментарий от Zmicier

А вообще эта долбанная секретность поражает — сам эксплоит гуляет по всей Сети, а выяснить какие именно версии ФФ ему подвержены — хрен — соответствующая запись в багзилле под грифом ДСП. Самому что-ли проверять?

Zmicier ★★★★★
()
Последнее исправление: Zmicier (всего исправлений: 1)
Ответ на: комментарий от anonymous

Нет никаких оснований не доверять дебианщикам в части их ответственности, но до версий между 31 (Джесси, еще неуязвима) и 38 (Стретч, уже уязвима) ведь им дела нет.

Так, файл PdfJs.jsm, где и был баг, судя по тому, как его исправляли, с 37-й версии по 38-ю вообще не изменялся.

Zmicier ★★★★★
()

Почему-то меня это нисколько не удивляет. всё равно его не юзаю.

mittorn ★★★★★
()
Ответ на: комментарий от TEX

Я как бы про расширения и про sop/cors для них в целом. Ручной выбор файлов есесна должен быть как и был всегда.

invokercd ★★★★
()
Ответ на: комментарий от th3m3

Если у тебя включен нестандартный профиль для firefox, то да. Дефолтный, по крайней мере в Ubuntu позволяет слишком много, в том числе спокойно ходить и читать файлы с директории пользователя, под которым запущен Firefox. Проверить легко, достаточно открыть /home/%username%/ в адресной строке браузера. Причем, я уже не помню включает ли дефолтный профиль абстракцию private-files, или нет. Но по крайней мере в дефолтной абстракции private-files чтение ~/.ssh/ и bash_history запрещено, но конечно там нету других мест, куда тоже смотрит сплойт.

anonymous_sama ★★★★★
()
Ответ на: комментарий от Kaschenko

Ого! Скачивали вообще всю инфу. Недоступен только тот оказался, кто пароли в текстовом файле хранит, и после каждого выхода в инет чистится :)

Vinni_Pooh ★★★★★
()
Ответ на: комментарий от EXL

Тебе грозит повышенная адекватность. Находясь в обществе макак с «вебом головного мозга», ты можешь чувствовать себя излишне адекватным человеком. А отсюда неизбежные стрессы и раздражения, из-за которых ты можешь сорваться и кого-нибудь побить, например.

Только этих двух строк достаточно, чтобы поставить диагноз.

anonymous
()

содержимым /etc/passwd

А что там может быть интересного в 2015 году?

mix_mix ★★★★★
()
Ответ на: комментарий от th3m3

Только в том случае, если профиль для Firefox включен. В той же Ubuntu он по-дефолту отключен. Но даже если его и включить, там у него довольно лояльные настройки: про ключи ssh, gnupg можно не беспокоиться, а вот ко всяким файлам в ~/Documents, ~/.remmina, ~/.purple Firefox может спокойно обращаться.Потому профиль тоже надо допиливать руками.

anonymous
()
Ответ на: комментарий от Classic

У меня тоже самое было с yum, просто он записал себе fastest mirrors и по ним проверял, а обновление к этому времени прошло не по всем мирорам.

barberry ★★
()
Ответ на: комментарий от anonymous

А разве pdf.js не загружается, когда страница содержит линк на pdf? А дальше хз — может, у них какая-то байда с парсером, поволяющая тот же js запустить.

yars068 ★★★★
()

Вот прям как жопой почуял что с файрфоксом что-то не то. Ещё после прошлого большого бага фарш-плеера, плюнул на всё, потратил выходной, и написал профиль app-armor для файрфокса (взял профиль из бубунты за основу), так чтобы он был по максимуму ограничен в доступе к файлам\папкам, и имел доступ только к одному месту в файловой системе (загрузки складировать).

Позавчера посмотрел лог аудита для файрфокса и слегка прифигел - сплошные denied на разных важных конфигах из корневого и домашнего каталога. Уж подумал, что опять фарш-плеер шалит. А сейчас вот залез на лор, и тут вот это....

А никто не в курсе, а базу сохранённых паролей в файрфоксе, куки, и др. вещи, этот скрипт похищать не мог ? Много-ли интересных вещей прямо из профиля файрфокса похитить можно ?

DawnCaster ★★
()
Ответ на: комментарий от anonymous

icecat, iseweasel, palemoon, только не с mozilla.org ;-(

anonymous
()
Ответ на: комментарий от DawnCaster

Ну в нормальных браузерах пароли хранятся в зашифрованной связке ключей ОС (gnome keyring, apple keychain).

Фурифокс не уверен что их умеет.

fornlr ★★★★★
()
Ответ на: комментарий от RussianNeuroMancer

а это уже вините индусов из бангалора. разогнали не только питерских, таже в канаде и сша холокост был.

ckotinko ☆☆☆
()
Ответ на: комментарий от anonymous

Э, алё. same origin позволяет шарашить странички со своего сайта. гугл может шарашить гугл, вася.ком может шарашить васю.кома. а pdfjs с диска был. уже не должно применяться same origin.

ckotinko ☆☆☆
()
Ответ на: комментарий от fornlr

Да, не умеет. Но не на хром-же теперь переходить ? Посмотрел содержимое профиля, сохранённые пароли хранятся в logins.json. Пароли там лежат не в чистом виде, а как-то зашифрованы. Вопрос только, где лежит ключ и как он защищён.

DawnCaster ★★
()
Ответ на: комментарий от DawnCaster

Ключи хранятся в key3.db

Да и не суть как оно зашифрованно, без мастер пароля это полная ерунда. Я сливаю два файлика из твоего хомяка, и сохраненные пароли легко извлеку. Есть вот firefox_passwd.py для расшифровки, если интересно.

fornlr ★★★★★
()

Так сказали в итоге, что за сайт-то был? А то я пропустил. Уязвимость эксплуатировалась _через сам сайт_, а не рекламную сеть. На HN был оригинальный баг-репортер, говорил, что это был некий «a international news website operating from Russia», но не RT. Какие варианты? Спутник? Медуза? Тасс? Интерфакс? Как-то другие сайты, подходящие под описание, в голову не приходят.

trycatch ★★★
()
Ответ на: комментарий от fornlr

Да не, спасибо, расшифровывать необходимости нет.

Но вообще, такие баги очень огорчают. Если кому интересно, кстати, могу выложить свой профиль файрфокса для AppArmor. Как раз навожу сейчас в нём порядок.

DawnCaster ★★
()

передавала данные пользователей на украинский сервер.

Тут ключевое слово «на украинский сервер»....а сервер, наверно, под чутким руководством бандеровских друзей-NSA?

anonymous
()
Ответ на: комментарий от anonymous

Тут ключевое слово «на украинский сервер»....а сервер, наверно, под чутким руководством бандеровских друзей-NSA?

Разумеется, там на сайте ещё и зашифрованную визитку Яроша нашли.

h578b1bde ★☆
()
Ответ на: комментарий от anonymous

Вот: http://pastebin.com/4MBXntew

Профиль делал под openSUSE 13.1 с Mate 1.10, на других системах, вероятно, потребуется поменять некоторые пути и возможно добавить что-то при работе файрфокса в других DE. Также, различные дополнения могут потребовать ещё каких-то изменений. Конкретно в этом примере, я сделал поддержку flashgot+wget, flashplayer через хромовскую обёртку pepperflash.

DawnCaster ★★
()
Ответ на: комментарий от trycatch

У Медузы, по крайней мере, была новость об этом. Так что, возможно, не они. Иначе бы попытались иначе подать.

anonymous
()
Ответ на: комментарий от anonymous

Думаю, если-бы хотели скрыть, то наверное наоборот написали-бы первыми.

DawnCaster ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.