Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

A gyengék védelmében - Blitzableiter 1.0

2011.06.18. 00:09 | buherator | 4 komment

Aki követi az It-biztonsági eseményeket, annak nem lehet újdonság, hogy az Adobe Flash Player nem a világ legbiztonságosabb alkalmazása. Másrészt remélem az sem újdonság senkinek, hogy a nagy incidensek, ipari és nem ipari kémakciók kiindulópontja általában valamilyen kliens oldali sebezhetőség. 

De mit lehet tenni, ha nem tudjuk megtiltani a Flash használatát, mégis szeretnénk elkerülni a 0-day támadásokat? A Recurity Labs válasza a kérdésre a Blitzableiter (villámhárító), melynek most jelent meg az 1.0-ás változata. A Blitzableiter lényegében egy SWF előfeldolgozó. A szoftver gyakorlatilag újraépíti a megbízhatatlan forrásból származó SWF fájlokat, szigorúan tarva magát a specifikációhoz, valamint bevezet egy sor hiányzó biztonsági funkciót. Az eredeti, potenciálisan veszélyes fájl tehát soha nem éri el a lejátszót.

Pontosabb részletekért, és egyébként is erősen ajánlot a Defending the Poor című előadás a 2009-es CCC-ről (nem ágyazom be, mert 8 részben van a YouTube-on). A prezentáció egyébként sírva-röhögős, és arra is jól rámutat, hogy miért ódzkodnak egyesek a Flashtől.

Friss: A legújabb hírek szerint az RSA-hoz is egy Flash exploittal mentek be.

Címkék: flash adobe blitzableiter recurity labs

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

buherator · http://buhera.blog.hu 2011.06.18. 14:05:25

(Tudom, az elesettek védelmében jobb cím lett volna, de késő volt már...)

nyos 2011.06.19. 10:51:17

Ha egy kulon sandboxban fut kulon processben minden flash, az nem eleg? Ezt sokkal bonyolultabb megoldasnak tartom, mint akar pluszban meg virtualizalni is az adott programot, de kompatibilitasi problemakat sokkal inkabb hozhat. A flash es a bongeszo annyira sokat meg nem kommunikal egymassal, azt a reszt meg lehet nezni komolyabban.
Ettol fuggetlenul nem rossz kezdemenyezes, de szerintem tobb munka, mint megirni tisztessegesen egy flash lejatszot. Van par nyilt forrasu, de ugye a kompatibilitas miatt nem megy minden.. (de az valoszinuleg ezzel sem menne)

buherator · http://buhera.blog.hu 2011.06.19. 14:01:00

@nyos: A felvetés jogos, de vedd figyelembe, hogy jó 0-dayekkel ki lehet törni egy sandboxból, ld.

buhera.blog.hu/2011/03/12/pwn2own_osszefoglalo_2011

www.vupen.com/demos/VUPEN_Pwning_Chrome.php

A virtualizáció jelenleg szerintem nem életszerű megoldás egy sokgépes vállalatnál Gizikétől a CEO-ig.

buherator · http://buhera.blog.hu 2011.06.19. 14:54:28

@nyos: Még pár gondolat:
- A konverziót meg tudod csinálni egy proxy-n/dedikált szűrő szerveren
- A same-origin check-ek hiányán, XSS-en, LSO-kon, redirecteken stb. nem segít egy sandbox