LINUX.ORG.RU

Обнаружена новая уязвимость в Mozilla Firefox

 , ,


2

4

Позавчера, 5 августа, пользователь Firefox сообщил Mozilla о рекламе на неназванном российском новостном сайте, которая, эксплуатируя уязвимость в браузере, передавала данные пользователей на украинский сервер.

Как утверждается в блоге Mozilla, уязвимость появилась в результате использования механизма, который обеспечивает «принцип одинакового источника» (политика, которая разрешает сценариям, находящимся на страницах одного сайта, доступ к методам и свойствам друг друга без ограничений, но предотвращает доступ к большинству методов и свойств для страниц на разных сайтах) и просмотрщика PDF, встроенного в браузер. Уязвимость не касается версий Firefox, где просмотрщика PDF нет — например, на Android.

Эксплоит не позволяет запускать произвольный код, но позволяет скачивать файлы пользователей. Таким образом злоумышленники охотились за учетными данными Amazon S3, паролями FTP-клиентов, содержимым /etc/passwd. Атака была нацелена на пользователей Windows и Linux, однако версия Firefox для Mac OS X также уязвима.

Было оперативно выпущены обновления Firefox 39.0.3 и Firefox ESR 38.1.1, исправляющие данную уязвимость.

>>> Запись в блоге Mozilla

Список файлов Linux пользователей не полный, не хватает .bash_history, .mysql_history, .pgsql_history, .ssh.

Пользователи рекламорезок, скорее, не были подвержены атаке. Пользователи noscript - точно.

anonymous ()
Ответ на: комментарий от anonymous

Хотел после твоего сообщения поправить, но уже подтвердили.
Модераторы, добавьте:

Таким образом злоумышленники охотились за учетными данными Amazon S3, паролями FTP-клиентов, содержимым /etc/passwd, а также файлами .bash_history, .mysql_history, .pgsql_history, .ssh ключами и файлами конфигурации, файлами конфигурации remina, Filezilla и Psi+.

Kaschenko ()

PDF.js предельно безопасен, говорили они, в отличие от нативных просмотрщиков, говорили они.

anonymous ()

каждому куску говнокода работающему с сетью и внешними данными по контейнеру

anonymous ()

Просто отключил этот просмотрщик, как только он появился. Меня эвинс вполне устраивает. Мне что-то грозит?

anonymous ()

Блокируют флеш, а свой дурацкий PDF-просмотрщик ни-ни.

anonymous ()

Yesterday morning, August 5, a Firefox user informed us that an advertisement on a news site in Russia was serving a Firefox exploit that searched for sensitive files and uploaded them to a server that appears to be in Ukraine

Решето

fornlr ★★★★★ ()

Пользуюсь ublock, noscript и disconnect, а также редко хожу по новостным сайтам. Надеюсь, я не заражён.
ЗЫ. Утром лиса до 39.0.3 обновилась. Это был фикс этой уязвимости ?

sudopacman ★★★★★ ()
Последнее исправление: sudopacman (всего исправлений: 1)
Ответ на: комментарий от sudopacman

заражение и скомпрометированные данные - это совершенно разные вещи

fornlr ★★★★★ ()

о рекламе на неназванном российском новостном сайте, которая, эксплуатируя уязвимость в браузере, передавала данные пользователей на украинский сервер.

Танцпол же!

WARNING ★★★★ ()

Почему бы им не запретить свой Js-просмотрщик PDF? Всё равно он полное неконкурентноспособное говно, в сравнении с нативными клиентами.

«Всё в веб» — это так же, как коммунизм. На словах звучит просто супер, а на деле жалкое и вообще ни на что не способное говно.

EXL ★★★★★ ()

и просмотрщика PDF, встроенного в браузер.

Ждем уязвимость в DRM-модуле лиса, которую не будут фиксить.

aplay ★★★★ ()
Ответ на: комментарий от anonymous

Меня эвинс вполне устраивает. Мне что-то грозит?

Тебе грозит повышенная адекватность. Находясь в обществе макак с «вебом головного мозга», ты можешь чувствовать себя излишне адекватным человеком. А отсюда неизбежные стрессы и раздражения, из-за которых ты можешь сорваться и кого-нибудь побить, например.

EXL ★★★★★ ()
Ответ на: комментарий от fornlr

То, что скрипт выполнился и мои файлы куда-то отправили, можно считать заражением.

sudopacman ★★★★★ ()
Ответ на: комментарий от aplay

Ждем уязвимость в DRM-модуле лиса, которую не будут фиксить.

Так на линуксы его не завезли

fornlr ★★★★★ ()

на неназванном российском новостном сайте

Неужели это ЛОР?

annulen ★★★★★ ()
Ответ на: комментарий от WARNING

Это факты. Если бы данные передавались на израильский сервер, что-то бы поменялось? Давайте теперь делать вид, что вон той страны вообще не существует и упоминать её нельзя?

anonymous ()
Ответ на: комментарий от sudopacman

как отключить ?

«pdfjs.disabled», true

вообще, рекомендую полуркать настройки тут

anonymous ()

Атака была нацелена на пользователей Windows и Linux

А нет ли тут притеснения OS X меньшинств?

EXL ★★★★★ ()
Ответ на: комментарий от EXL

А на OS X ты ничего и толком не сделаешь с помощью сабжа, секурность же

fornlr ★★★★★ ()
Ответ на: комментарий от fornlr

точно такое же решето просто на макогеев всем насрать

anonymous ()
Ответ на: комментарий от fornlr

А на OS X ты ничего и толком не сделаешь с помощью сабжа, что можно сделать толкового взломав локалхост гей-хипстера

anonymous ()
Ответ на: комментарий от anonymous

Так apple keychain же. А на линуксе много софта любят хранить пароли в конфигах хомяка в плеинтексте...

fornlr ★★★★★ ()

то есть у них pdf.js работал в повышенными привилегиями и туда можно было насовать код. который что-то там срабатывал. дыра то еще ширше чем все думают.

ckotinko ☆☆☆ ()
Ответ на: комментарий от ckotinko

то есть у них pdf.js работал в повышенными привилегиями

нет

anonymous ()

и просмотрщика PDF

Давно пора это позорище выпилить из браузера.

mashina ★★★★★ ()

Было оперативно выпущены обновления Firefox 39.0.3 и Firefox ESR 38.1.1, исправляющие данную уязвимость.

Уже поставил. Сплю спокойно.

robus ★★★ ()
Ответ на: комментарий от ckotinko

js внезапно тоже с диска. same origin policy гугли.

anonymous ()
Ответ на: комментарий от sudopacman

Все-таки атака (хоть и успешная) и заражение это не одно и тоже. Тут разница примерно как между тем, что ваши фотки в душе сопрут и изнасилуют в подъезде.

RiseOfDeath ★★★★ ()

Mac users are not targeted by this particular exploit but would not be immune should someone create a different payload.

Мне кажется, новость на ЛОРе преподаёт этот факт иначе. И не должна ли сработать песочница?

Deleted ()

и просмотрщика PDF, встроенного в браузер. Уязвимость не касается версий Firefox, где просмотрщика PDF нет

Пользователи перегруженных комбайнов должны страдать.

AX ★★★★★ ()

С помощью RequestPolicy-like аддонов такого можно избежать. Ну и да, pdf.js не нужен.

Bfgeshka ★★★★★ ()
Ответ на: комментарий от ckotinko

Вот и меня это интересует. Это только у PDF.js такая привилегия, доступ к ФС, или что? И если дырка в PDF.js то при-чём тут Some origin?

MrClon ★★★★★ ()

Как вообще жабаскрипт со странички может получить доступ к локальным файлам? Я правильно понимаю что у них код жабаскриптов самого файрфокса оказался доступен жабаскрипту страницы, а жабокод файрфокса мог прочитать локальные файлы? Если так то это жестокая жесть, однако, фактически полный доступ кому угодно ко всем файлам на компе, нормальный такой бекдор... :(

Sagrer ()
Ответ на: комментарий от Sagrer

Видимо как-то так. Вон в доках написано, что браузерный жабокод имеет доступ к файлосистеме.

ко всем файлам на компе

С фига ли? Права файлосистемы никто не отменял.

Где эксплойт для Ъ?

anonymous ()
Ответ на: комментарий от MrClon

Задал тот же вопрос у них в блоге.

Same Origin политика - не допускает получение данных из источника не относящегося к домену откуда поступает запрос, исключение - заголовок Access-Control-Allow-Origin где можно указать откуда разрешен доступ.

Если эти ушлепки настолько тупы что перезаписывают этот заголовок для pdf.js то я нах валю с FF.

invokercd ★★★★ ()

Решето! Не успел дождаться пока починят плагин для текущей версии жынолиса, как - «обновитесь и поломайте его снова». Эта мозилла когда-нибудь нормально заработает без глюков или это фантастика?

Napilnik ★★★★★ ()
Ответ на: комментарий от anonymous

Ну читать файлы - ок. Но ни каким хером он не должен иметь возможности делать ajax с ними, это ж наскольно они упороты что разрешили такое.

invokercd ★★★★ ()
Ответ на: комментарий от invokercd

да, я вот тоже думаю, каковы были причины разрешать такое. это странно.

AndreyKl ★★★★★ ()
Ответ на: комментарий от invokercd

Ну читать файлы - ок. Но ни каким хером он не должен иметь возможности делать ajax с ними, это ж наскольно они упороты что разрешили такое.

Почему нет? Там привелегированый жабоскрипт, который мозиловцы и мб аддонопейсатели используют для своих дел, может им таки реквесты понадобится отсылать.

Вопрос в том, с фига ли обычная страница может вызывать этот привелегированый жабокод.

anonymous ()

Хочется больше подробностей технических.

th3m3 ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.