Már február óta ismert a Firefox egy olyan sebezhetősége, amely lehetővé teszi, hogy perzisztens XSS-et hajtsunk végre bármely site-on, ami engedélyezi felhasználói számára .zip fájlok feltöltését. A hiba a jar: protokolkezelő megvalósításában van, a probléma forrása lényegében az, hogy a böngésző külső tartományról származó kódot hajlandó futtatni az aktuális tartományon.
A hibára három napja pdp hívta fel újra a figyelmet, hangsúlyozandó annak kritikus voltát. Ma pedig beford jelentetett meg egy elég impresszív PoC kódot, ami kiolvassa a látogató Google kontaktlistáját (amennyiben be van jelentkezve), ezzel rávilágítva arra, hogy azok az oldalak is veszélyben vannak, akik nyílt átirányítást (?redirect=url) alkalmaznak - így ugyanis el lehet hitetni a böngészővel, hogy a .jar az átírányító oldalról (pl. Google) származik. A problémát tovább súlyosbítja, hogy a NoScript egyelőre nem véd az ilyen támadások ellen (bár a fejlesztői verzióba már berakták az új fícsört), valamint az antivírus programoknak is sok fejtörést lehet okozni pl. több .jar fájl egymásba ágyazásával, de érdekes támadási lehetőségeket rejt az is, hogy az OpenOffice .odt, valamint a Microsoft Office 2007 .doc formátuma a .jar-hoz hasonlóan a .zip formátumra épül.
A Mozillának csipkednie kell magát, ha be akarja tartani a szavát a "tíz kiba* nappal" kapcsolatban. Szigorú értelemben véve már el is késtek jócskán...
Tudom ajánlani az Opera böngészőt, amíg kijön a patch. Nem annyira fullos mint a Firefox, de jobb mint az Explorer, és nincs rá annyi hiba.
Update: Ma kijött a NoScript 1.1.8 "JAR Jammer", ami nevének megfelelően kiszűri ezeket a támadásokat. Nekem minden esetre már kezd kicsit fájdalmassá válni, hogy annyi bugot találnak a Firefoxban, hogy nem győzöm őket kiposztolni...
A hibára három napja pdp hívta fel újra a figyelmet, hangsúlyozandó annak kritikus voltát. Ma pedig beford jelentetett meg egy elég impresszív PoC kódot, ami kiolvassa a látogató Google kontaktlistáját (amennyiben be van jelentkezve), ezzel rávilágítva arra, hogy azok az oldalak is veszélyben vannak, akik nyílt átirányítást (?redirect=url) alkalmaznak - így ugyanis el lehet hitetni a böngészővel, hogy a .jar az átírányító oldalról (pl. Google) származik. A problémát tovább súlyosbítja, hogy a NoScript egyelőre nem véd az ilyen támadások ellen (bár a fejlesztői verzióba már berakták az új fícsört), valamint az antivírus programoknak is sok fejtörést lehet okozni pl. több .jar fájl egymásba ágyazásával, de érdekes támadási lehetőségeket rejt az is, hogy az OpenOffice .odt, valamint a Microsoft Office 2007 .doc formátuma a .jar-hoz hasonlóan a .zip formátumra épül.
A Mozillának csipkednie kell magát, ha be akarja tartani a szavát a "tíz kiba* nappal" kapcsolatban. Szigorú értelemben véve már el is késtek jócskán...
Tudom ajánlani az Opera böngészőt, amíg kijön a patch. Nem annyira fullos mint a Firefox, de jobb mint az Explorer, és nincs rá annyi hiba.
Update: Ma kijött a NoScript 1.1.8 "JAR Jammer", ami nevének megfelelően kiszűri ezeket a támadásokat. Nekem minden esetre már kezd kicsit fájdalmassá válni, hogy annyi bugot találnak a Firefoxban, hogy nem győzöm őket kiposztolni...
