Kritikus 0day sebezhetőség a Mozilla Firefox 3.5 és 3.6-ban

 ( trey | 2010. október 27., szerda - 9:43 )

A Mozilla Security tegnap blogjában arra hívta fel a figyelmet, hogy a Mozilla Firefox 3.5-ös és 3.6-os verziói kritikus sebezhetőségben szenvednek. A visszajelzések szerint a sebezhetőséget aktívan kihasználják jelenleg is az interneten (például a Nobel-békedíj weboldalán).

Az exploitot tartalmazó weboldalakat meglátogatók a sebezhetőségen keresztül fertőződhetnek a malware-rel (Belmoo/Win32). A trójait legelőször a Nobel-békedíj weboldalán jelezték. Ezt a weboldalt a Mozilla beépített malware védelme már blokkolja, azonban az ártó kód más oldalakon is felbukkanhat.

A Mozilla Security a sebezhetőség javításáig azt javasolja, hogy a felhasználók tiltsák le a Javascript-et a böngészőben, vagy használjanak NoScript add-on-t.

A részletek itt.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Szerintem meg mindig jobb, mint az IE. Uff.

---
pontscho / fresh!mindworkz

let the flame begin! ;D
--
Peace, Love, Unity, Respect

successful troll is successful. in before ie flame.

Gondoltam megtorom a csendet, ugyis az lesz a vege, hogy valaki kitalalja, hogy az IE meg nagyobb szar es ez kulonben is nem hiba, hanem feature amivel a Mozilla a javascript penetraciojat akarja letorni.

---
pontscho / fresh!mindworkz

ugyis tudom h hungert akartad ingerelni. :D

Nem. O eleg jol tisztaban van a dolgokkal, a tobbi zerot akartam felpiszkalni egy kicsit. :)

---
pontscho / fresh!mindworkz

milyen zero-rol van szo?:D

de csak sebessegben :)

"A trójait legelőször a Nobel-békedíj weboldalán jelezték."

Kínaiak törni uralom világ?

+1

Na jó, de mi a sebezhetőség? Az nincs benne a részletekben sem.
(Nem kihasználni akarom, hanem el akarom tudni dönteni, hogy mely js-eket kell tiltani. A javascript am-blokk tiltása kb lehetetlenné teszi a netezést a 21. évezredben, a html5 oldalakról nem is beszélve. Nem opció.)

:D :D

Nem vicc. Csomószor belefutok, hogy adblockkal tiltva vagyon a gugli análitiksz, ezért elhasal a js, így az oldal további funkciói sem működnek.

Jó lenne, ha legalább a szakmai közösség észrevenné, hogy a web ma már többről szól, mint statikus dokumentumok összelinkelgetése és gif animokkal való felturbózása...

Szerk: a "netezést" hétköznapi nyelvjárásban értettem, már csak azért is, mert böngészőről vagyon szó vagy mi.

Noscript wazze.... Ott akár oldalanként megondhatod, hogy te most tényleg akarsz ott futtatni js-t, vagy se..
A név ráadásul nem sokat oszt vagy szoroz.. Nem hinném, hogy az összes oldalon a pamela_anderson_sucks_hard.js-t kéne tiltani, és az már über védelmet adna :DD
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..

És hogy döntöd el, hogy melyik oldalon lévő js-t kell tiltani, és melyiken nem, ha nem írták le a vulnerabilityt, és csak annyit tudsz róla, hogy van?

Segítek: Nem tudod. Alapvető rule, hogy amit lehet tiltunk, és ha úgy gondolod, hogy az általad használt oldal js-e megbízhatónak tekinthető, akkor azt az 1 oldalt engedélyezed ( vagy permanensen, vagy ideiglenesen ).
Az alap probléma amúgy ezzel az iránnyal ami felé el akarsz menni az, hogy azt hiszed a js fileok neve jelent bármit is. Elárulom - semmit.. Sőt még a .js kiterjesztés se.. Ergo név alapján szűrni akár oldalanként, akár globálisan bármit is ilyen szempontból eléggé öntökönbökés.. Az mondjuk más tészta, hogy te oldalanként tilthatod a javamikulas.js file-t, mert te nem akarod, hogy az betöltődjön, de ezzel is csak 2 baj van:
- Csak az adott oldalon működik - Fertőzött oldalnál alapjáraton az a javascript file amúgy sincs ott, ergo oldal szinten nem leszel képes tiltani. Plusz ha ne adj isten valahogy még is kiszúrtad, attól még elképzelhető, hogy a köv oldalbetöltésnél már új file-névvel köszön vissza rád
- Globálisan ugyan oda lyukadsz ki, mint a már emlegetett pamela_anderson_sucks_hard.js-el - egyáltalán nem lehetsz benne biztos, hogy a fertőzés ugyan azzal a filenévvel fog megjelenni minden oldalon (sőt szinte biztos lehetsz benne, hogy nem ugyan azzal a névvel fog)

Illetve van még egy olyan módszer, hogy mivel rendszerint ezek a fertőzések egy oldalra igyekeznek eljutni, így a komplett oldalt blokkolni, de ezzel is csak annyi a gond, hogy:
- 1. körben észre kell venned, hogy az adott oldal ki akar menni arra fele ( ez már azt jelenti ,hogy a script 1 részét már tutira letöltötted, szal a fertőzött oldalba már belefutottál, sőt a kód azon része már le is futott ), aztán tiltani.. (most az eshetőséget nem számolom, hogy minden letöltött kódot árgus szemmel nézel, és minden egyes javascript kódot átnézel/visszafejtesz, majd miután végigszopattad magad 1-2 órán keresztül a teljes script (és azok függőségeinek) vizsgálatával továbbmész a további 20-ra amit az oldal meg akar hívni )
- Nem a te dolgod - Megannyi más szervezet van pont ezen oldalak felszámolása céljából.

Ergo marad az ősi recept:
- Ha nem muszáj, akkor nem engedélyezünk semmit ami nem kell nekünk.
- Ha még is muszáj, akkor engedélyezzük, de ne globálisan, hanem csak 1 irányba ( itt jön képbe a noscript! ) ha lehet
- Csak azt engedélyezzük amit kell ekkor is (most komolyan.. Minek nekem facebook, digg, twitter, meg megannyi anyám kínja, ha én mondjuk csak egy LOLcat-et akarok nézni )
-Tudatos böngészés, nem pavlovi klikkelgetés össze-vissza..

____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..

"Ha nem muszáj, akkor nem engedélyezünk semmit ami nem kell nekünk"
idonkent az uzemelteto/betoro olyan fileba rakja a nyomkoveto/fertozo kodot amit ugyis engedelyez az ember mert hasznalhatatlan lesz tole az oldal

udv Zoli

senki nem mondta, hogy a net biztonságos.. Ezen a szinten már tényleg a teljes javascript tiltás maradt csak.
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..

Nem segítettél. És mi a bajod vele, hogy a neve alapján tiltom?
1. belenézek a kiskutyafarka.js-be
2. látok a sebezhetőség kihasználására utaló kódot?
3. ha igen, nem engedélyezem a kiskutyafarka.js-t.
NEM a neve alapján döntöm el, hogy tiltani kell-e! NORMÁLIS?!? És layer 7 proxykról nem hallottál még?

Egyébként meg megmosolygattál, hogy ki akarsz oktatni arról, hogy mit számít a fileok kiterjesztése. Nem egy embeded webszervert és klienst írtam már, oda-vissza ismerem az RFC2616-ot, és laza 10 év webfejlesztés áll mögöttem...

.

Gratulálunk.. Ön sikeresen letöltötte a kiskutyafarka.js mallware programot.. A licenszszerződés után nyomban bele is nézhet a forrásba.. Amennyiben az általunk írt obfuszkált kódot is képes értelmezni - és annak összes függőségét - abban az esetben CV-jét kérjük küldje az alábbi címre: god.damn[at]imso.gud
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..

kííísszenvan (facepalm)

Nem vágom, mi a bajotok. Vegyük a következő esetet:

1. kedves júzer összesz*rja a gatyáját, miután olvasta a fenti hírt.
2. kikapcsolja a js-t.
3. a tecsőn nincsenek thumbnailek, és nem megy a lejátszás.

Na mégis, mit fog reagálni erre szerintetek? Azt fogja mondani, ez igen gyerekek, de nagyon jó workaroundot találtatok, használom továbbra is, VAGY anyáz egy k* nagyot, és visszakapcsolja?

Csak pár dolog, ami szintén nem fog menni:
1. galériák 99,99999%-a
2. analitikus tracker funkciók (pl urchin)
3. legtöbb almenü sem fog megjelenni (ami által könnyen kárlátozva lehetsz a navigálásban, ugye)
4. összes flash oldal, ahol számít a plugin verziója
5. semmilyen canvas-os HTML5 oldal
...és még sorolhatnám.

"21. évezredben"

;)

ja, hogy az a poén, hogy évezredet írtam véletlenül :-D Jogos, megyek inkább alszom egy nagyot.

Az "am-blokk"-on is volt már itt hetekig sírvaröhögés.
--
2e845cb4c3a5b5bd6508455b1739a8a2

azt poénosnak is szántam... utalva arra, hogy mekkora baromság a javasolt "workaround".

Akkor úgy ámmal kell írni. :)
--
2e845cb4c3a5b5bd6508455b1739a8a2

Hüüüüjjjee vagy?! KAPCSÓÓÓÓDKI!!!! :D

x86_64 Linuxon is sebezheto ?


Amit nem lehet megirni assemblyben, azt nem lehet megirni.

a konkrét fertőzés foo/win32
-
"Attempting to crack SpeedLock can damage your sanity"

Szóval harminckettőt nyer?
--
Fight / For The Freedom / Fighting With Steel

No, akkor krómot neki... Amíg ki nem javítják...

or don't use windows

Ha Checkpoint VPN klienst, meg még néhány musthave alkalmazást (pontosabban olyat, ami az adott speciális feladat elvégzéséhez szükséges) tudsz mutatni Linuxra, akkor persze.

Most postoljam be még egyszer, vagy írjam le? Áhh, inkább leírom.

A konkrét malware windowson, xp-vel bezárólag tud fertőzni (vistán és win7-en már nem). A sebezhetőség viszont platforfüggetlenül kihasználható.

--
Don't be an Ubuntard!

Fogadjunk, hogy a Belmoo-t a Nobel-békedíj honlap üzemeltetői rakták fel a saját oldalukra. Akkora látogatottságuk még soha nem volt, mint amit eme 0day sebezhetőség kapcsán terjedő hír hozott nekik ... ;-)

Kritikus 0day sebezhetőség a Mozilla Firefox 3.5 és 3.6-ban !!!WINDOWS-on!!!

Oregon, biztonsági szakértőnek ne menj :)

Most csorgott le a 3.6.12, elvileg javítja.