Windowsos 0day Firefox 3.6 remote exploit?

Mozilla

A H Open arról ír, hogy az Intevydis névre hallgató biztonsági cég egy Windows-on kihasználható exploitot készített egy eddig még széles körben ismeretlen Firefox 3.6 hibára. Az exploit állítólag lehetővé teszi a távoli támadó számára, hogy az hozzáférjen az áldozat rendszeréhez. A Canvas névre hallgató kereskedelmi exploit toolkit mögött álló Immunity fórumában írta Evgeny Legerov, hogy az exploitja "egész megbízhatóan" működik Windows XP-n (SP3) és Vista-n.

Az exploit szerzője azt állítja, hogy a buffer overflow sebezhetőségről van szó. A Secunia a sebezhetőséget "highly critical" jelzővel illette, ami az öt fokozatú skáláján a második helyet jelenti az "extremely critical" mögött. A Secunia nem ad bővebb felvilágosítást a sebezhetőségről, mindössze hivatkozik az Immunity fórumtopikjára. A Mozilla még nem adott ki figyelmeztetőt vagy konkrét állásfoglalást a témában.

Hogy a sebezhetőség kihasználására írt exploitot mennyire széles körben próbálják használni, az jelenleg nem ismert. Az Extraexploit blog elemzése azt mutatta, hogy a február 12 és 13 közt jelentősen megnőtt az észlelt Firefox 3.6 összeomlások száma, de egyelőre nem tisztázott, hogy ez az exploit miatt lenne.

A részletek itt.

( Lacyc3 v | 2010. 02. 21., v – 18:50 )

Lehet én vagyok a béna, de sose találok ilyen oldalakat, a Firefox is csak a flash miatt omlik össze, bár az is ritka.

Témához valami:
- VulnDisco 9.0-ben jelent meg legjobb tudomásom szerint, szóval aki olyan körökben mozog az simán hozzáférhetett.. Innentől fogva nyugodtan tekinthetjük elterjedtnek.
- A Mozilla tudtommal nem írt még semmi részleteset sem az esetről, csak komolyan veszi a problémát, és nyomoz.. Nem véletlenül hívják 0day-nek ( és mivel jelen esetben kereskedelmi 0day, így sok infót ne is várjatok 1 kis ideig.. )
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..

Ezeket én is olvastam. További információkra gondoltam.

"Nem véletlenül hívják 0day-nek ( és mivel jelen esetben kereskedelmi 0day, így sok infót ne is várjatok 1 kis ideig.. )"

Ez ebben a formában nem teljesen igaz. Számos 0day esetén elérhető az exploit kód (kiszivárog) és a Secunia sem csak annyit ír, hogy ha valaki tud valami bővebbet, az írja meg neki. Simán lehetne erről is többet tudni.

Illetve érdekes ez a fórumpost:

Hello,
I've bought VulnDisco 9.0 and tested the FireFox 0-day-exploit.
It did NOT (!!!) work with FireFox 3.6 and 3.5.8 at WindowsXP SP3 and at WindowsVista SP2.
[Honestly I think that exploit is just a hoax, an good advertisment trick - Secunia (http://secunia.com/advisories/38608/) believed it without testing it by themselves]

Still, it contains some other interesting exploits for other programs, but I have not tested them so far.

--
trey @ gépház

tudtommal a sikeresen lefutott exploit lényege az, hogy nem elcrasheli a hibás alkalmazást (hacsak nem ennyi a cél pusztán), hanem lefuttatja a háttérben az ártó szándékű kódot. Azaz annyit fogsz látni, h. a hackelt oldal betöltése közben megvillan a HDD led 1 pillanatra, mert pont ekkor töltötte be a cmd.exe-t a háttérben, és futtatta le a "net user" parancsot.

Ha csak elcrashel, akkor az feltűnő jelenség.

( blah-blah | 2010. 02. 22., h – 06:36 )

[Editor]
"...eddig még széles körben ismeretlen Firefox 3.6 hibára..."

Viccesen hangzik. Nem egyszerűen csak "eddig ismeretlen" kellene.
[/Editor]