20:14
7/8/2015

Na międzynarodowej stronie informacyjnej hostowanej w Rosji odkryto aktywnego exploita na przeglądarkę Firefox. Jak się okazało, wykorzystywał on nieznaną dziurę we wbudowanym w Firefoksa czytniku PDF. Za pomocą dziury możliwe jest pobranie dowolnego pliku z dysku użytkownika Firefoksa. Atak dotyczy zarówno windowsowej jak i linuksowej wersji Firefoksa.

0day na Firefoksa

Działanie exploita, według Martijna Grootena, polega na wstrzyknięciu, poprzez złośliwy plik PDF, kodu JavaScript, który obchodzi mechanizm Same Origin Policy i dzięki temu pozwala na pobieranie dowolnych lokalnych plików.

http___www.nathanm.com_images_blog_AntiFirefox04.jpg

O ataku poinformował wpis na blogu Mozilli. Rosyjskojęzyczna strona, którą przeglądał Cody Crews, jeden z programistów, zawierała doklejonego do każdej podstrony iframe’a, który serwował exploita i wykradał z komputerów osób używających do jej przeglądania przeglądarki Firefoksa następujące pliki:

  • klucze SSH i konfigurację SSH
  • zaszyfrowane hasła
  • historię komend i skrypty shellowe
  • pliki zawierające “pass” lub “access” w nazwie
  • konfigurację klietów FTP (m.in. Filezilli)
  • pliki związane z subversion

Ponieważ exploit serwowany był przez doklejoną ramkę, niewykluczone że poza rosyjskojęzyczną stroną mógł pojawić się w kilku innych miejscach. Warto też zaznaczyć, że chociaż w tym przypadku użytkownicy Firefoksa na Mac OS X nie byli atakowani, to również są na ataki narażeni, jeśli ktoś odrobinę zmodyfikuje kod exploita.

Mam Firefoksa — co robić, jak żyć?

Według odkrywcy ataku, strona pokazywała okno dialogowe — ale Mozilla twierdzi, że działanie exploita nie zostawia na systemie ofiary żadnych śladów. Należy więc założyć, że nie ma możliwości aby sprawdzić, czy nie padłeś się ofiarą ataku. To co jednak możesz zrobić, to upewnić się, że masz aktualną wersję przeglądarki. Najnowsza wersja, 39.0.3, zawiera patcha na opisywaną powyżej dziurę.

Warto też — prewencyjnie — zmienić hasła do wartościowych zasobów (serwerów SSH, FTP, serwisów webowych).

Parafrazując popularny żart, jak widać, nie tylko Internet Explorer może być przeglądarką, która umożliwia stronom internetowym przeglądanie dysku twardego użytkownika ;-)


Przeczytaj także:



60 komentarzy

Dodaj komentarz
  1. Subvestion?
    Czy chodziło Wam o Subversion?

    Swoją drogą, to by był ciekawy atak – czyżby chcieli poznać hasła do publicznych repozytoriów Open Source w celu dołożenia swojego kodu?

  2. Może czas przerzucić się na jakąś konsolową wersję przeglądarki :D Może LINKS ?

    • Nawet dzisiaj próbowałem linksa na jednej stronie, to mi krzyczała, żebym wyłączył AdBlocka :)

    • Jesli widzicie ten komentarz to znaczy, ze da sie za jego pomoca dodawac komentarze na niebezpieczniku. A to juz cos :)

    • Ja do zwykle używam elinksa, chociaż do wielu WWW też przeglądarek graficznych.
      Teraz już wiem skąd wziął się dzisiejszy upgrade Firefoxa.

  3. Ja mam wyłączony skrypt java, na wszystkie strony.

    • Java to nie javascript a kot to nie kotara.

    • a konik to nie konik polny, ani morski,
      a świnka to nie świnka morska,
      a mysz to nie mysz komputerowa

    • @Filip: za to “skrypt java” można już, na upartego, podprowadzić pod javascript.

    • @Ninja
      Skrypt Java to nie Skrypt JavaScript ;)

    • Jeszcze ja!
      Jeż to nie jeżyna. :>

  4. A kto używa tych wbudowanych “szitów”?

    • A może ja?

    • No właśnie. Przecież ten wbudowany czytnik pdf to okropny badziew. Gubie 3/4 formatowania jakie poprawnie kopiuje się z adobe readera a i czasem polskie znaki zmienia w krzaczki.
      Chyba tylko mozillowy shumway jest gorszy w robieniu tego, do czego został stworzony.

    • Ktoś na pewno. Sam mam wyłączone tylko dlatego, że ta wbudowana przeglądarka strasznie muli. Jak dla mnie i tak respekt za czas łatania. Mają wpadki ale przeglądarka nadal daje radę, zwłaszcza w obliczu podejrzanych funkcji wbudowanych w głównego konkurenta (Google Chrome).

  5. zygmunt:
    dawno temu na SunOS/Solaris używało sie lynx

    M-Z:
    lepiej używać dziurawego acrobata ;))

    • PDF X-Change…
      Zresztą w zły link można wdepnąć, a na “Open” trzeba z premedytacją nacisnąć. :)

    • Zamiast Readera – SumatraPDF, natomiast jeżeli komuś nieszczególnie podoba się droga, jaką idzie Mozilla i Liseł, to Pale Moon :]

  6. Cóż, nie od dziś wiadomo, że Firefox to nowy IE.

  7. Dlatego mam osobnego użytkownika do przeglądania Internetu (przeglądarka chodzi na innym UID, który nie ma dostępu do takich rzeczy jak klucze SSH)

  8. Ciekaw jestem jak na Ubuntu w tym momencie zachowa się profil AppArmor i czy zablokuje takie działanie.

    • Jak sobie skonfigurujesz AppArmora to zadziała. Domyślnie jednak nie ma on już teraz załadowanego profilu osłaniającego system od Firefoksa. Jest schowany gdzieś w katalogu /doc i nie aktualizowany od wersji 4.0 Firefoksa.

    • Comodo Dragon

    • ten z gita dla iceweasela zamyka w swoim profilu przeglądarkę i działa od kopa (na iceweaselu oczywiście)
      https://github.com/Falcon-peregrinus/apparmor-profiles/blob/master/usr.bin.iceweasel
      do tego jeszcze profil do evince i wyłączenie tego bublastego wbudowanego czytnika i powinno troszkę uszczelnić fajerfoxa

  9. FireFox już jakiś czas temu wydał wersję 40. A obecna wersja to 40.1 beta.

    Wystarczy wejść w Pomoc -> O programie Firefox i tam sprawdzić aktualizację, FF powinien sam pobrać najnowszą wersję.

  10. Czyli znowu okazało się, że w Mozilli pracują same pryszczate gimbusy bez pojęcia o codingu…

    • Zielony Żoliborz ~

  11. Czy NoScript blokuje skrypty także w plikach .pdf otwieranych za pomocą Firefoxa?

    • To skrypt js wykorzystujacy rozszerzenie do otwierania pdf a no script blokuje js i wszystko inne.Chyba że sie go tak ustawi że akurat nie blokuje.

  12. Czyli co, Iceweasel (fork Firefoxa) nie jest zagrożony? XD

  13. Szkoda że nie ma info co to za międzynarodowa strona hostowana w Rosji ?

    • żeby czasem nikomu ciekawskiemu to nie wykradło plików…

  14. A po cholerę przeglądarki w ogóle otwierają PDFy? Komu to potrzebne?

  15. Jeżeli otwieranie pdfów miało się podpięte pod zewnętrzną wtyczkę NPAPI, to rozumiem że do ataku nie mogło dojść?
    Wbudowany czytnik pdfów to okropny muł, zwłaszcza przy dużych plikach.

  16. Jestem początkującym użytkownikiem OpenBSD orientujecie się jak szybko wypuszczają oni patche i czy wogóle?

    • W OpenBSD łaty dla portów zależą od maintainera. Nowa wersja FF jest już w drzewie.

      To: ports-changes@cvs.openbsd.org
      Subject: CVS: cvs.openbsd.org: ports
      Date: Fri, 7 Aug 2015 07:39:36 -0600 (MDT)

      Log message:
      SECURITY update to firefox 39.0.3 & firefox-esr 38.1.1.

  17. Na linksie można uruchamiać przeglądarki w sandbox firejail. https://l3net.wordpress.com/projects/firejail/

  18. dlatego kazdego pdfa sciagam przed “automatycznym otwarciem” I uzywam zenwetrznego orpogramowania

    • Na “zewnętrzne oprogramowanie” też są błędy ;)

    • Jeśli jest to produkt Adobe to chyba nie ma się z czego cieszyć. :D

      A tak poważniej, Piotr ma absolutną rację. Dzisiejsze oprogramowanie jest skomplikowane, jeszcze sporo różnorakich dziur na nas czeka. Ciekawe rzeczy zaczną się dziać kiedy IoT stanie się rzeczywistością – Skynet/Genesis coraz bliżej. ;)

    • Piotr Konieczny:
      „Na “zewnętrzne oprogramowanie” też są błędy ;)”

      Tak, ale o ileż łatwiej atakować kombinację FF+PDF-FF, niż FF+PDF-nn, gdzie nn->…

  19. A ze mnie się w pracy śmieją, że domyślnie mam zablokowane w chromie takie pluginy jak flash i pdf, i że trzeba manualnie kliknąć, żeby się włączył.

    • W chromie masz sandboksa jeszcze, ale i tak dobrze robisz. Lepiej ogladac te rzeczy ktore sie explicite chce a nie ktore sa wtykane na kazda strone przez exploita :)

  20. Bardzo to ciekawe, zważywszy że wbudowany czytnik PDF to nic innego jak https://github.com/mozilla/pdf.js

  21. “zawierała doklejonego do każdej podstrony iframe’a”

    Chciałbym uprzejmie donieść, że rozszerzenie Noscript w domyślnych ustawieniach nie ma zaznaczonego blokowania – obiekty osadzone-> Blokuj aplety , Blokuj aplety

    Jak żyć?

  22. Ale głupi ten firefox, ani informacji o aktualizacji, a jak chciałem wymusić, to uznał, że mam najnowszą wersję,i trzeba było pobrać najnowszą wersję.

    • Hmm, dziwne. Zazwyczaj ta funkcja działa bez większych problemów, widocznie ma lekkiego laga, albo po prostu odpytuje nie częściej niż co jakiś czas – żeby nie DoS-ować własnych serwerów.

    • Trzeba było wpisać sudo apt-get upgrade i już.
      O, zaraz…

    • Elyah, jeśli Debian zrobił to dobrze, to Firefox/Iceweasel ma zablokowane powiadomienia o aktualizacjach bo nie ma to większego sensu. Buildy na Gentoo mają poblokowane powiadoeminia – wystarczy robić regularne aktualizacje systemu. :)

  23. Czy HIPS byłby w tej sytuacji pomocny?

  24. Iceweasel też jest na to podatny?

  25. a nie mozna tego gowna zablokowac w hostach? Aktualizacja pzregladarki to glupia rada

    • e? głupia rada? Nie sądzę.
      Firefoksa można zaaktualizować albo do 39.0.3, albo do ESR 38.1.1. Można przez mniej więcej rok na 38 siedzieć, bo jest to wydanie ESR i aktualizacje jedyne co zrobią to załatają krytyczne luki.

  26. czy wersja ESR 31.8.0 rowniez zawiera tego patcha co ‘normalna’ 39.0.3 ?

  27. @qwerty: Nie jest. Icewasel nie ma dodatku pdfjs. “Zwykły” też jest niepodatny, jeżeli ustawisz:
    – about:config
    – szukasz: “pdfjs.disabled” i ustawisz na “true”

  28. Dziś został wydany Firefox 40 , zachęcam do pobrania z serwerów Mozilli.

  29. Na szczęście jest Sandboxie

    • Albo wystarczy uruchamiać przeglądarkę z innego użytkownika w systemie a katalogi domowe dać z odpowiednim uprawnieniem. Linux daje dużo możliwości dla ludzi którzy lubią “łączyć kropki” (;

  30. Mam pytanie – a nie wystarczy wyłączyć obsługę JavaScript w czytniku Adobe? Ja zawsze wyłączam, ale Adobe po każdej aktualizacji zawsze włącza…

  31. Czytnik PDF-ów wbudowany w Firefoksa? Cos mnie ominęło??? Nigdy niczego takiego nie używałem, zawsze Firefox otwiera mi PDF-y w Evince…

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: