Piotr Konieczny

konsultant ds. bezpieczeństwa, podróżnik,
hobbystycznie fuksiarz i gadżeciarz
szkot, prawie spadochroniarz...
nienawidzi zielonego.

« wszystkie wpisy | reklama: Porównywarka cen

Niedziela, 19 lipca 2009 :: 23:08:13
bugs, IT, przekręty, security

Exploity na Firefox 3.5.1 (i inne przeglądarki)

FF_exploit

Od poniedziałku, na milw0rmie dostępny jest exploit na Firefoksa 3.5. Exploit pozwala na zdalne uruchomienie dowolnego kodu na komputerze ofiary. Tu możecie sprawdzić jego działania — po kliknięciu odpali się kalkulator Windows.

Autoexploit?

Nie pierwszy, i na pewno nie ostatni to raz, kiedy pojawia się exploit na Firefoksa — ciekawe w tym przypadku jest coś innego... Po analizie kodu exploita, jeden z developerów Firefoksa przyznał, że programiści FF najprawdopodobniej pomogli w stworzeniu exploita, gdyż nie ukryli na czas informacji o dziurze, dodanej do Bugzilli już w czwartek... (BTW: Napisz proszę w komentarzu do tego posta, czy powinno się ukrywać opisy błędów bezpieczeństwa?)

Dopiero w piątek (po tygodniu od wykrycia błędu, i po 4 dniach od 0day'a) wypuszczona została załatana wersja Firefoksa - łatajcie się bracia i siostry!

Przy okazji poprawiono błąd związany z długaśnym startem FF pod Windowsem wynikający z nie do końca przetestowanej implementacji funkcji kryptograficznych. Jak podaje heise, znalazca tego błędu twierdzi, że developerzy FF niezbyt dokładnie przetestowali build Windowsowy z racji tego, że głównie pracują na Linuksie... ;)

Dość o Firefoksie, bo jeszcze ktoś pomyśli, ze jest lepszy od Opery ;-P Teraz pora dać klapsa właśnie Operze ;)

Dziadek exploit

Firma G-Sec odgrzewa atak znany z czasów Netscape 6, polegający na stworzeniu menu z selectem o parametrze lenght ustawionym na kosmicznie wielką wartość. Exploit powoduje alokowanie całości dostępnej pamięci i zwis przeglądarki. Wywala Opery i IE. FF/Chrome i Safari nie są podatne na atak.

Tutaj możecie go przetestować.

Jak widać, exploity dosięgają wszystkich przeglądarek ;-) Miłego zabijania!

P.S. W temacie exploitów - gorąco polecam tę grę.

AKTUALIZACJA: 19.07.2009, 23:45

Branch Predictor słusznie zauważył w komentarzu, że w ledwie co zaktualizowanym Firefoksie 3.5.1 także znaleziono buga — tutaj macie PoC — wywala też Operę i Safari na OS X, więc chyba tylko medialnie nazwano to "nową dziurą w nowym FF" ;)

• Następny post: Gaz pieprzowy w bankomacie
• Poprzedni post: mBank "TY P*ZDO"!

 

Chcesz być informowany o kolejnych wpisach na ten temat?
Kanał RSS: kliknij tutaj. Subskrybcja poprzez e-mail: kliknij tutaj.

 

Tagi:

« reszta wpisów | • trackback | ‡ torturuj posta!

Komentarze:

1. rad Niedziela, 19 lipca 2009, 23:23:22
 

moja opera (build
1643) nic sobie z tego nie robi

 
2. Piotr Konieczny Niedziela, 19 lipca 2009, 23:23:58
 

pewnie Viste masz ;)

 
3. Branch Predictor Niedziela, 19 lipca 2009, 23:44:05
 

No, i teraz odkryli nową dziurę, podają od razu z PoC'em: http://www.thetechherald.com/article.php/200929/4087/New-vulnerability-discovered-for-Firefox-3-5-1

 
4. Kermit Niedziela, 19 lipca 2009, 23:52:56
 

A u mnie pod Linuksem Opera 10 Beta 2 coś jednak sobie z tego robiła ;) No raczej to było to, bo po kliknięcia przycisku top pokazywał, że Opera korzysta ze 100% CPU, a zajmowana przez nią pamięć wzrastała o 0,1% co ok 1-3 sekundy ;)

Kermit.

 
5. Piotr Konieczny Niedziela, 19 lipca 2009, 23:59:04
 

Branch Predictor: dzięki za cynk. Post powstał w piątek i został zapisany do publikacji na Niedzielę. Przez dwa dni wiele może się zmienić ;)

 
6. Branch Predictor Niedziela, 19 lipca 2009, 23:59:58
 

N/p. Przeczytałem pół godziny temu na Slashdocie. ;)

 
7. Marek Poniedziałek, 20 lipca 2009, 00:49:29
 

Kaspersky bardzo ładnie rozpoznaje zagrożenia :)

Najnowsza Beta Opera jest odporna

 
8. marcoos Poniedziałek, 20 lipca 2009, 01:32:00
 

W OS X dziura leży w systemowej bibliotece ATSUI. Na Windows problem nie występuje w 3.5, a w 3.0 jest tylko crash, który nie może być wykorzystany do uruchomienia nieautoryzowanego kodu.

http://blog.mozilla.com/security/2009/07/19/milw0rm-9158-stack-overflow-crash-not-exploitable-cve-2009-2479/

 
9. tdudkowski Poniedziałek, 20 lipca 2009, 03:14:48
 

Linuksowa Opera 10 b2 (4493): produkuje 100% zajetosc procesora, co jednak nie zabija funkcjonalnosci - pisze to w trakcie dzialania exploita - po zamknieciu tabu z exploitem sytuacja blyskawicznie wraca do normy. Ataku na pamiec nie bylo widac w ogole. W trakcie dzialania troche zwalnia, ale "wywalaniem" bym tego na pewno nie nazwal, chociaz kto wie jakby poczekac jeszcze kilkanascie minut...
A to drugie rzeczywiscie dziala, Opere trzeba dobijac z konsoli.

 
10. Piotr Konieczny Poniedziałek, 20 lipca 2009, 08:33:51
 

marcoos: "Na Windows problem nie występuje w 3.5"

wg podanego przez Ciebie źródła:
"On Windows, Firefox 3.0.x and Firefox 3.5.x are terminated due to an uncaught exception" - czy to znaczy, ze 3.5 =/= 3.5.x=0?

Co do OS X i "security" - to szkoda słów... Duży plus dla developerów Firefoksa, że będą chronić buga w bibliotece systemowej własnym kodem.

 
11. deluge Poniedziałek, 20 lipca 2009, 08:52:07
 

na 3.5.1 na Vista anie jeden ani drugi nie działa

 
12. Piotr Konieczny Poniedziałek, 20 lipca 2009, 08:52:29
 

deluge: a trzeci?

 
13. deluge Poniedziałek, 20 lipca 2009, 08:55:48
 

tzn sprawdziłem 1 i 3 nie działały, teraz 2 i tez wszystko ok. Rano FF się zaktualizował

Mozilla/5.0 (Windows; U; Windows NT 6.0; pl; rv:1.9.1.1) Gecko/20090715 Firefox/3.5.1 (.NET CLR 3.5.30729)

 
14. deluge Poniedziałek, 20 lipca 2009, 08:57:20
 

albo inaczej, może coś zadziałało bo widzę, że FF zajmuje ponad 700 mb w pamięci, ale nie zauważyłem jakoś zwolnienia działania przeglądarki ;)

 
15. Piotr Konieczny Poniedziałek, 20 lipca 2009, 08:57:59
 

delunge: to poczekaj az zacznie mielic Ci swapem, a potem zaliczy crasha ;)

 
16. deluge Poniedziałek, 20 lipca 2009, 09:06:54
 

niestety, nie wyłożył się ;)

 
17. Piotr Konieczny Poniedziałek, 20 lipca 2009, 09:07:21
 

raczej na szczęście ;) Pogratulować.

 
18. BTM Poniedziałek, 20 lipca 2009, 11:44:35
 

NOD32 mi zablokował, sorry :(

 
19. Piotr Konieczny Poniedziałek, 20 lipca 2009, 11:46:27
 

BTM, to tylko sie cieszyc. Swoja droga, podziwiam Was - "spowalniac" sobie internet skanerami, kiedy w 99.9% przypadkow jedyne co moze Was spotkac, to crash. (no chyba, ze ktos lata po .ru i pr0n).

 
20. Bartosz "BTM" Szczec Poniedziałek, 20 lipca 2009, 11:48:16
 

@Piotr: akurat NOD32 dużo nie spowalnia. Poza tym, niestety po ostatnim boom robaczka, który kradnie hasła z Total Commander jet to firmowy wymóg ;-)

 
21. Piotr Konieczny Poniedziałek, 20 lipca 2009, 11:49:28
 

A, firmowe... - tu ciąć należy bezdyskusyjnie :)

 
22. Grzegorz Poniedziałek, 20 lipca 2009, 12:33:38
 

ESET NOD32 Antivirus - Ochrona protokołu HTTP:

"Wykryto zagrożenie podczas uzyskiwania dostępu do stron internetowych przez aplikację: C:\Program Files\Internet\Mozilla Firefox\firefox.exe.

Obiekt: http://konieczny.be/misc/exploits/FF_3.5_exploit.html JS/Exploit.FoxFir.A.Gen koń trojański połączenie zostało zakończone."

NoScript (z którego korzystam) także nie powinien pozwolić uruchomić tego skryptu (choć antywirus zareagował szybciej).

A deweloperzy Firefoksa pracują głównie na Makówkach, a nie Linuksie. Czytuję sporo ich blogów i większość zamieszczanych zrzutów ekranu jest właśnie z Mac OS X.

 
23. Branch Predictor Poniedziałek, 20 lipca 2009, 12:43:53
 

Przed sporą większością dziur bronią takie "bzdurki" jak np. DEP (data execution prevention). FF 3.5(.0) wyłożył się zamiast odpalić kalkulator, gdy próbowałem tamtego exploita przy włączonym DEPie.

 
24. Grzegorz Poniedziałek, 20 lipca 2009, 12:47:17
 

To dobrze, bo DEP jest domyślnie włączone w XP (chyba od SP2), w Viście i 7 od początku.

 
25. Ravicious Poniedziałek, 20 lipca 2009, 13:19:54
 

"Swoja droga, podziwiam Was - "spowalniac" sobie internet skanerami, kiedy w 99.9% przypadkow jedyne co moze Was spotkac, to crash. (no chyba, ze ktos lata po .ru i pr0n)."

+1

U mnie "ochrona ynternetu" jest wyłączona, Firefox po wejściu na stronę trochę pomielił, pomielił i zdążyłem go wyłączyć (bez crasha) na raczej słabym kompie.

 
26. Grzegorz Poniedziałek, 20 lipca 2009, 13:22:38
 

Ja nie widzę żadnej różnicy w prędkości wczytywania stron. Wszystko wczytuje się z prędkością jaką oferuje łącze i serwer konkretnej strony WWW.

Przeskanowanie 60-90 KB (przeciętna strona) trwa nie więcej niż ułamek sekundy, odbywa się niemal równocześnie z jej pobieraniem. Nie widać różnicy, a ochrona przed niespodziankami jest.

 
27. Nikt Poniedziałek, 20 lipca 2009, 18:58:07
 

okas

 
28. Dodek Poniedziałek, 20 lipca 2009, 19:33:53
 

Gzegorz, tutaj chodzi o pożeranie pamięci, a nie spowalnianie wczytywania stron. Ja na Windowsie też nie mam żadnej ochrony.

 
29. Grzegorz Poniedziałek, 20 lipca 2009, 21:27:30
 

Dodek: wiem, że w części omawianych exploitów chodzi o pożeranie pamięci, ja mówiłem na temat ochrony HTTP oferowanej przez cześć antywirusów, że ta nie spowalnia wczytywania ani nie zajmuje dużo zasobów, a przydaje się właśnie w takich przypadkach.

 
30. Dodek Poniedziałek, 20 lipca 2009, 21:37:21
 

Mi właśnie chodziło o pożeranie pamięci przez skaner rezydentny.

 
31. Grzegorz Poniedziałek, 20 lipca 2009, 21:41:49
 

Dodek: Firefox trawi tak duże ilości RAMu, że nawet najgorszy skaner rezydentny nie jest w stanie mu dorównać. Zresztą to kwestia kompromisu pomiędzy wygodą, szybkością i bezpieczeństwem. Ja podczas codziennej pracy nie odczuwam różnicy pomiędzy włączoną/wyłączoną ochroną monitora.

 
32. GiM Czwartek, 23 lipca 2009, 01:06:11
 

@piko: ten bug z .length (exploit? wtf?) to thierrego zollera, a to znany FUDziarz jest, te jego bugi, to ech...
zresztą jest cała dyskusja między thierrym a tufem na BT

@grzegorz: rekord jak mniemam ustanowił dziś mój znajomy, u którego vsz firefoxa doszło do 1G

 
33. krystian Wtorek, 04 sierpnia 2009, 15:49:47
 

co do pamięci i FFoxa to ... hmmm
wszystko zależy od tego ile i jakie kto ma otwarte strony w tej samej chwili.
Ja odkąd chrome zacząłem używać to się tak do otwierania kolejnych i kolejnych zakładek przyzwyczaiłem, że osiąganie 1,5GB po przesiadce na ffoxa to nie jest duży problem ;)
Niestety w ffoxie otwieranie nawet 2 zakładki zajmuje dłużej niż setnej w chrome :/

 

Dodaj komentarz:

Wyślij pustą wiadomość, aby śledzić komentarze przez bota.
Komentarze są własnością osób komentujących.
Właściciel bloga nie ponosi za nie odpowiedzialności.
Komentarze nie na temat będą usuwane.

Ofiara

Jeśli powyższy wpis przydał Ci się w jakiś sposób,

autorowi :-)

Czytelnicy:

« wszystkie wpisy