Kritikus 0day sebezhetőség a Mozilla Firefox 3.5 és 3.6-ban

Mozilla

A Mozilla Security tegnap blogjában arra hívta fel a figyelmet, hogy a Mozilla Firefox 3.5-ös és 3.6-os verziói kritikus sebezhetőségben szenvednek. A visszajelzések szerint a sebezhetőséget aktívan kihasználják jelenleg is az interneten (például a Nobel-békedíj weboldalán).

Az exploitot tartalmazó weboldalakat meglátogatók a sebezhetőségen keresztül fertőződhetnek a malware-rel (Belmoo/Win32). A trójait legelőször a Nobel-békedíj weboldalán jelezték. Ezt a weboldalt a Mozilla beépített malware védelme már blokkolja, azonban az ártó kód más oldalakon is felbukkanhat.

A Mozilla Security a sebezhetőség javításáig azt javasolja, hogy a felhasználók tiltsák le a Javascript-et a böngészőben, vagy használjanak NoScript add-on-t.

A részletek itt.

( Pontscho | 2010. 10. 27., sze – 11:26 )

Szerintem meg mindig jobb, mint az IE. Uff.

---
pontscho / fresh!mindworkz

( siposa v | 2010. 10. 27., sze – 11:38 )

"A trójait legelőször a Nobel-békedíj weboldalán jelezték."

Kínaiak törni uralom világ?

( turdus | 2010. 10. 27., sze – 13:51 )

Na jó, de mi a sebezhetőség? Az nincs benne a részletekben sem.
(Nem kihasználni akarom, hanem el akarom tudni dönteni, hogy mely js-eket kell tiltani. A javascript am-blokk tiltása kb lehetetlenné teszi a netezést a 21. évezredben, a html5 oldalakról nem is beszélve. Nem opció.)

Nem vicc. Csomószor belefutok, hogy adblockkal tiltva vagyon a gugli análitiksz, ezért elhasal a js, így az oldal további funkciói sem működnek.

Jó lenne, ha legalább a szakmai közösség észrevenné, hogy a web ma már többről szól, mint statikus dokumentumok összelinkelgetése és gif animokkal való felturbózása...

Szerk: a "netezést" hétköznapi nyelvjárásban értettem, már csak azért is, mert böngészőről vagyon szó vagy mi.

Noscript wazze.... Ott akár oldalanként megondhatod, hogy te most tényleg akarsz ott futtatni js-t, vagy se..
A név ráadásul nem sokat oszt vagy szoroz.. Nem hinném, hogy az összes oldalon a pamela_anderson_sucks_hard.js-t kéne tiltani, és az már über védelmet adna :DD
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..

Segítek: Nem tudod. Alapvető rule, hogy amit lehet tiltunk, és ha úgy gondolod, hogy az általad használt oldal js-e megbízhatónak tekinthető, akkor azt az 1 oldalt engedélyezed ( vagy permanensen, vagy ideiglenesen ).
Az alap probléma amúgy ezzel az iránnyal ami felé el akarsz menni az, hogy azt hiszed a js fileok neve jelent bármit is. Elárulom - semmit.. Sőt még a .js kiterjesztés se.. Ergo név alapján szűrni akár oldalanként, akár globálisan bármit is ilyen szempontból eléggé öntökönbökés.. Az mondjuk más tészta, hogy te oldalanként tilthatod a javamikulas.js file-t, mert te nem akarod, hogy az betöltődjön, de ezzel is csak 2 baj van:
- Csak az adott oldalon működik - Fertőzött oldalnál alapjáraton az a javascript file amúgy sincs ott, ergo oldal szinten nem leszel képes tiltani. Plusz ha ne adj isten valahogy még is kiszúrtad, attól még elképzelhető, hogy a köv oldalbetöltésnél már új file-névvel köszön vissza rád
- Globálisan ugyan oda lyukadsz ki, mint a már emlegetett pamela_anderson_sucks_hard.js-el - egyáltalán nem lehetsz benne biztos, hogy a fertőzés ugyan azzal a filenévvel fog megjelenni minden oldalon (sőt szinte biztos lehetsz benne, hogy nem ugyan azzal a névvel fog)

Illetve van még egy olyan módszer, hogy mivel rendszerint ezek a fertőzések egy oldalra igyekeznek eljutni, így a komplett oldalt blokkolni, de ezzel is csak annyi a gond, hogy:
- 1. körben észre kell venned, hogy az adott oldal ki akar menni arra fele ( ez már azt jelenti ,hogy a script 1 részét már tutira letöltötted, szal a fertőzött oldalba már belefutottál, sőt a kód azon része már le is futott ), aztán tiltani.. (most az eshetőséget nem számolom, hogy minden letöltött kódot árgus szemmel nézel, és minden egyes javascript kódot átnézel/visszafejtesz, majd miután végigszopattad magad 1-2 órán keresztül a teljes script (és azok függőségeinek) vizsgálatával továbbmész a további 20-ra amit az oldal meg akar hívni )
- Nem a te dolgod - Megannyi más szervezet van pont ezen oldalak felszámolása céljából.

Ergo marad az ősi recept:
- Ha nem muszáj, akkor nem engedélyezünk semmit ami nem kell nekünk.
- Ha még is muszáj, akkor engedélyezzük, de ne globálisan, hanem csak 1 irányba ( itt jön képbe a noscript! ) ha lehet
- Csak azt engedélyezzük amit kell ekkor is (most komolyan.. Minek nekem facebook, digg, twitter, meg megannyi anyám kínja, ha én mondjuk csak egy LOLcat-et akarok nézni )
-Tudatos böngészés, nem pavlovi klikkelgetés össze-vissza..

____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..

senki nem mondta, hogy a net biztonságos.. Ezen a szinten már tényleg a teljes javascript tiltás maradt csak.
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..

Nem segítettél. És mi a bajod vele, hogy a neve alapján tiltom?
1. belenézek a kiskutyafarka.js-be
2. látok a sebezhetőség kihasználására utaló kódot?
3. ha igen, nem engedélyezem a kiskutyafarka.js-t.
NEM a neve alapján döntöm el, hogy tiltani kell-e! NORMÁLIS?!? És layer 7 proxykról nem hallottál még?

Egyébként meg megmosolygattál, hogy ki akarsz oktatni arról, hogy mit számít a fileok kiterjesztése. Nem egy embeded webszervert és klienst írtam már, oda-vissza ismerem az RFC2616-ot, és laza 10 év webfejlesztés áll mögöttem...

Gratulálunk.. Ön sikeresen letöltötte a kiskutyafarka.js mallware programot.. A licenszszerződés után nyomban bele is nézhet a forrásba.. Amennyiben az általunk írt obfuszkált kódot is képes értelmezni - és annak összes függőségét - abban az esetben CV-jét kérjük küldje az alábbi címre: god.damn[at]imso.gud
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..

Nem vágom, mi a bajotok. Vegyük a következő esetet:

1. kedves júzer összesz*rja a gatyáját, miután olvasta a fenti hírt.
2. kikapcsolja a js-t.
3. a tecsőn nincsenek thumbnailek, és nem megy a lejátszás.

Na mégis, mit fog reagálni erre szerintetek? Azt fogja mondani, ez igen gyerekek, de nagyon jó workaroundot találtatok, használom továbbra is, VAGY anyáz egy k* nagyot, és visszakapcsolja?

Csak pár dolog, ami szintén nem fog menni:
1. galériák 99,99999%-a
2. analitikus tracker funkciók (pl urchin)
3. legtöbb almenü sem fog megjelenni (ami által könnyen kárlátozva lehetsz a navigálásban, ugye)
4. összes flash oldal, ahol számít a plugin verziója
5. semmilyen canvas-os HTML5 oldal
...és még sorolhatnám.

( turul16 v | 2010. 10. 27., sze – 15:29 )

x86_64 Linuxon is sebezheto ?

Amit nem lehet megirni assemblyben, azt nem lehet megirni.

( zeller | 2010. 10. 27., sze – 22:31 )

No, akkor krómot neki... Amíg ki nem javítják...

( müzso | 2010. 10. 27., sze – 23:56 )

Fogadjunk, hogy a Belmoo-t a Nobel-békedíj honlap üzemeltetői rakták fel a saját oldalukra. Akkora látogatottságuk még soha nem volt, mint amit eme 0day sebezhetőség kapcsán terjedő hír hozott nekik ... ;-)

( uid_17626 | 2010. 10. 28., cs – 00:03 )

Kritikus 0day sebezhetőség a Mozilla Firefox 3.5 és 3.6-ban !!!WINDOWS-on!!!

( siposa v | 2010. 10. 28., cs – 07:55 )

Most csorgott le a 3.6.12, elvileg javítja.