LINUX.ORG.RU

Критическая уязвимость в Firefox 2.0


0

0

Уязвимость находится в компонентах Password Manager, который сохраняет пароли, чтобы пользователю не приходилось их вводить заново при каждом посещении сайтов. Используется неспособность Password Manager проверять легальность URL. Уязвимость была открыла Робертом Чапином, владельцем Chapin Information Services. Предполагается, что ошибка работает во всех версиях Firefox. Уязвимость уже используется хакерами на сайте MySpace, перенаправляя пользователей на ложную страницу, где вводятся пароли. Mozilla Foundation советует пользователям отключить Password Manager до выхода соответствующего патча, отношение к уязвимости других браузеров пока изучается.

>>> Оригинал новости

★★★

Проверено: Shaman007 ()

Re: Критическая уязвимость в Firefox 2.0

Ну это забавно. Давно думал, что Firefox - это круто. Но с выходом 2.0 перешел на Konqueror. Отлично работает и проц почти не жрет при выкачивании файлов. (Почему-то Firefox иногда кушает ~50% CPU)

anonymous ()

Re: Критическая уязвимость в Firefox 2.0

> Note MSIE6|7 do the same.

Farcaller ★★ ()

Re: Критическая уязвимость в Firefox 2.0

зачот :) всегда считал FF поделием :)

p.s. как сидел на опере 8 лет так и буду сидеть...

Somewho ★★ ()

Re: Критическая уязвимость в Firefox 2.0

Нда.. приятная новость, сон как рукой сняло.

manokur ★★ ()
Ответ на: Re: Критическая уязвимость в Firefox 2.0 от Somewho

Re: Критическая уязвимость в Firefox 2.0

> зачот :) всегда считал FF поделием :)

А прочитать баг не дано?

это очередная вариация XSS. Уязвимы firefox, mozilla (seamonkey), ie6 (возможно и 7), safari (и видимо konqueror тоже).

Не уязвима Opera, там принципиально другой подход к хранинию паролей.

Но это не повод катить бочку на ff

Farcaller ★★ ()

Re: Критическая уязвимость в Firefox 2.0

IE7 так же affected.

r ★★★★★ ()

Re: Критическая уязвимость в Firefox 2.0

Хотя и у Оперы не все идеально:

> * They'll worry about semi-phishing against Opera users, assuming Opera's only defense is requiring a click on the "wand" button.

Таким образом надо просто осторожно серфиться и быть внимательным. И пароли не сохранять :)

Farcaller ★★ ()
Ответ на: Re: Критическая уязвимость в Firefox 2.0 от Farcaller

Re: Критическая уязвимость в Firefox 2.0

> Таким образом надо просто осторожно серфиться и быть внимательным. И пароли не сохранять :)

А ещё лучше от Интернет отключиться.

anonymous ()

Re: Критическая уязвимость в Firefox 2.0

да там все просто - невидимый inner frame на сайте с формой в котором содержаться поля ввода login,password. Они автоматически заполняются пассворд менеджером. javascript ждет пару секунд потом меняет акшен формы и делает сабмит. С новым годом.

r ★★★★★ ()

Re: Критическая уязвимость в Firefox 2.0

> Уязвимость уже используется хакерами на сайте MySpace, перенаправляя пользователей на ложную страницу, где вводятся пароли.

нормально, блин

Syncro ★★★★★ ()

Re: Критическая уязвимость в Firefox 2.0

Посмотрим, в каком браузере раньше пофиксят...

the_one ()

Re: Критическая уязвимость в Firefox 2.0

Никогда не пользовался этим пассворд манагером... а зочем? действительно, как сказал один ананимус - маветон :)

Cy6erBr4in ★★★ ()
Ответ на: Re: Критическая уязвимость в Firefox 2.0 от Somewho

Re: Критическая уязвимость в Firefox 2.0

>p.s. как сидел на опере 8 лет так и буду сидеть...

зря

зы: ушел с винды и этой поделки для пальцатых вантузоидов exUSSR стоящей в одном ряду с bat-ом far-ом и totalcommander-ом

anonymous ()
Ответ на: Re: Критическая уязвимость в Firefox 2.0 от anonymous

Re: Критическая уязвимость в Firefox 2.0

правильно, лучше использовать один-два простеньких пароля на всех десятках сайтов требующих регистрации

Syncro ★★★★★ ()
Ответ на: Re: Критическая уязвимость в Firefox 2.0 от Farcaller

Re: Критическая уязвимость в Firefox 2.0

у оперы есть такая вещь в пассворд-манагере - ассоциировать логин/пасс с конкретным урлом, а не целым сайтом.. думаю это поможет :)

p.s.собственно всегда и ассоциировал с конкретным урлом а не сайтом

Somewho ★★ ()
Ответ на: Re: Критическая уязвимость в Firefox 2.0 от anonymous

Re: Критическая уязвимость в Firefox 2.0

> хранить пароли в браузере - моветон

+1; Просто не надо делать на своей рабочей станции logout с тех сайтов, которые часто посещаешь :).

kondor ★★★ ()

Re: Критическая уязвимость в Firefox 2.0

Вот еще одно наглядное доказательство, что безопасных сетевых приложений (в частности, браузеров) просто не бывает. И лозунг "самый безопасный браузер на земле" очередной грязный пиар, только на этот раз не от MS.

anonymous ()

Re: Критическая уязвимость в Firefox 2.0

Ну вот, опять что-то нашли..

MiracleMan ★★★★★ ()
Ответ на: Re: Критическая уязвимость в Firefox 2.0 от anonymous

Re: Критическая уязвимость в Firefox 2.0

А TotalCommander и Bat за что обосрали?

ЗЫ Щас вылезут красноглазые и начнут кидать в меня катяхами. Руки только не запачкайте, господа!

anonymous ()

Re: Критическая уязвимость в Firefox 2.0

Вывод: JScript правильно выключен ...

robot12 ★★★★★ ()

Re: Критическая уязвимость в Firefox 2.0

Расширение NoScript спасёт человеков.

kavs ()

Re: Критическая уязвимость в Firefox 2.0

>For information, I tried the demo at Heise from comment #66 with >Konqueror (3.5.5) and it failed to steal the password. However I also >tried with FireFox-1.5.0.8, and it failed to steal the password there >as well.

anonymous ()
Ответ на: Re: Критическая уязвимость в Firefox 2.0 от kavs

Re: Критическая уязвимость в Firefox 2.0

Расширение NoScript ? скорее YesScript расширение, а NoScript наооборот, не знаю как правильно сказать, сужение чтоли... ;)

anonymous ()
Ответ на: Re: Критическая уязвимость в Firefox 2.0 от Somewho

Re: Критическая уязвимость в Firefox 2.0

>у оперы есть такая вещь в пассворд-манагере - ассоциировать логин/пасс с конкретным урлом, а не целым сайтом.. думаю это поможет :)

нет.

r ★★★★★ ()
Ответ на: Re: Критическая уязвимость в Firefox 2.0 от Cy6erBr4in

Re: Критическая уязвимость в Firefox 2.0

> Никогда не пользовался этим пассворд манагером...

На все сайты один пароль?

Ходишь всего на два сайта?

Обладаешь абсолютной памятью?

atrus ★★★★★ ()

Re: Критическая уязвимость в Firefox 2.0

А я вот недавно на softwareforums.intel.com зайти не мог. Может в этом дело было ? Вот же мать их... ФФ 2.0.

anonymous ()

Re: Критическая уязвимость в Firefox 2.0

а мне понравился клипчик по ссылке с багзиллы ; "expanding previous test case"

anonymous ()

Re: Критическая уязвимость в Firefox 2.0

Сильно сомневаюсь что проблема настолько критична, а то что внимательно надо ходить по сети не нажимая куда попало мышкой - это ещё дедушка Ленин завещал, ну или кто-то типа того. Новость - спам!

los_nikos ★★★★★ ()
Ответ на: Re: Критическая уязвимость в Firefox 2.0 от kavs

Re: Критическая уязвимость в Firefox 2.0

Буахаха!! Не спасёт! И отключение JavaScript не спасёт!

Это не просто баг в движке, это недосмотр в идее хранения паролей во всех современных браузерах.

timf ()
Ответ на: Re: Критическая уязвимость в Firefox 2.0 от timf

Re: Критическая уязвимость в Firefox 2.0

проблема решается на уровне изготовителей сатов. вместо <input typy=password name="password"> надо писать <input type=password name="xGrhdkrek-sitedomain-date">

Все.

anonymous ()

Re: Критическая уязвимость в Firefox 2.0

Заголовок неправильный. Должно быть "в Firefox, IE, Safari, Опера под вопросом."

timf ()

Re: Критическая уязвимость в Firefox 2.0

мда, из всех комментаторов поняли в чем дело всего пара человек. и noscript-то тут причем? бред собачий. печальная картина.

kmike ★★ ()
Ответ на: Re: Критическая уязвимость в Firefox 2.0 от anonymous

Re: Критическая уязвимость в Firefox 2.0

> проблема решается на уровне изготовителей сатов. вместо <input typy=password name="password"> надо писать <input type=password name="xGrhdkrek-sitedomain-date">

и чего это даст? наличие "date" делает запоминание паролей в принцыпе невозможным, и если кому то захочется чтоб браузер запомнил пароль, он (браузер) будет выдавать запрос на сохранение при каждой попытке входа. все остальные навороты ("xGrhdkrek-sitedomain-") подделаваются без каких либо проблем. если имя будет генериться, например, раз в день, то злоумышленнику ничего не будет стоять с утра обратиться к оригинальному сайту, выцепить сигнатуру каким-нибудь регекспом вроде m/<input\s+type=password\s+name=\"([^\"]+)\">/i и подставить $1 в свою форму...

arsi ★★★★★ ()
Ответ на: Re: Критическая уязвимость в Firefox 2.0 от kmike

Re: Критическая уязвимость в Firefox 2.0

>я так и не понял, а как на счёт ФФ 1.5 ,он тоже уязвим? Да.

И вообще, FF выдает ворнинг о том, что вы пытаетесь заслать данные на другой УРЛ. Если пользователь нормальный, он нажмет НЕТ и ничего страшного не произойдет. ИЕ, к примеру, ворнинг не выдает вообще.

По поводу уязвимости оперы и сохранения пароля для определенного урла: Ничем это не спасает, курите ссылку.

>мда, из всех комментаторов поняли в чем дело всего пара человек. и noscript-то тут причем? бред собачий. печальная картина. +1

a-x ()
Ответ на: Re: Критическая уязвимость в Firefox 2.0 от anonymous

Re: Критическая уязвимость в Firefox 2.0

>проблема решается на уровне изготовителей сатов. вместо <input typy=password name="password"> надо писать <input type=password name="xGrhdkrek-sitedomain-date">

>Все.

И что это должно изменить? Просто тебе в iframe надо будет запихнуть не статический html, а скрипт. Или обновлять htmlку удалённо каждые N минут.

Я думаю, тут лучше сделать так, чтобы из javascript нельзя было менять ACTION, если в FORM есть TYPE=PASSWORD. А запоминать комбинацию domain/name/action.

Хотя это может сильно усложнить жизнь скриптам, которые показывают степень надёжности пароля при регистрации или шифруют его при логине.

Davidov ★★★★ ()
Ответ на: Re: Критическая уязвимость в Firefox 2.0 от kmike

Re: Критическая уязвимость в Firefox 2.0

> и noscript-то тут причем?

noscript при том, что если сам нажал на кнопку на подставном сайте, не обратив внимания на несоответствие логина и странички, значит сам дурак, а если только ввел сцилку или нажал на линк в гугле, а оно уже само все сделало (т.е. передало все что нужно кому нужно... т.е. кому не нужно :) ), то это намного хуже...

arsi ★★★★★ ()
Ответ на: Re: Критическая уязвимость в Firefox 2.0 от arsi

Re: Критическая уязвимость в Firefox 2.0

запоминание пароля не сработает - вот что главное.

А вообще, тогда можно добавить и REMOTE_IP в имя переменной пароля. Ну и проверять естественно на стороне сервера (ибо это очень легко). <input type="password" name="pass-123.123.123.123"> Ну и как тогда обойти это?

anonymous ()

Re: Критическая уязвимость в Firefox 2.0

А кто сказал (кроме bochs), что уязвимость критическая?! Вот тут написано, что опасность низкя http://www.securitylab.ru/vulnerability/277855.php

anonymous ()
Ответ на: Re: Критическая уязвимость в Firefox 2.0 от kmike

Re: Критическая уязвимость в Firefox 2.0

>и noscript-то тут причем?

имхо, предлагалось отключить выполнение скриптов в браузере. Чтоб никто ничего не подменил и не "засабмитил" :)

И вообще, моветон - это сама такая "авторизация" :/ с позволенья сказать, при которой пароль вводится неизвестно где и пересылается неизвестно кому по открытым каналам в открытом виде...

(ну, "моветон", может и слишком. но соображать же надо!!! где использовать...)

grinn ★★ ()
Ответ на: Re: Критическая уязвимость в Firefox 2.0 от Davidov

Re: Критическая уязвимость в Firefox 2.0

> Хотя это может сильно усложнить жизнь скриптам, которые показывают степень надёжности пароля при регистрации или шифруют его при логине.

Шифровать пароль через JavaScript практически бесполезно - если можно перехватить сам пароль, то можно перехватить зашифрованный пароль и данные, которые использовались для шифрования, а не будешь же реализовывать на JavaScript криптоалгоритмы с открытым ключём...

askh ★★★★ ()
Ответ на: Re: Критическая уязвимость в Firefox 2.0 от anonymous

Re: Критическая уязвимость в Firefox 2.0

> А вообще, тогда можно добавить и REMOTE_IP в имя переменной пароля. Ну и проверять естественно на стороне сервера (ибо это очень легко). <input type="password" name="pass-123.123.123.123"> Ну и как тогда обойти это?

элементарно Ватсон, достаточно просекти эту тему и соотв. образом подправить скрипт генерации ложной формы. тогда:

1) ты ображаешься к оригинальному сайту с исходящим ипником 123.123.123.123, получаешь форму с полем <input type="password" name="pass-123.123.123.123">.

2) злоумышленник обращается к ориг. сайту с исх. ипником 111.111.111.111, получает <input type="password" name="pass-111.111.111.111">; делает s/111\.111\.111\.111/%%remote-ip%%/g.

3) ты обращаешься к якобы-ориг-сайту, но попадаешь на сайт зл.ум.а (со своим исходящим ипником 123.123.123.123 !!!), зл.ум. делает s/%%remote-ip%%/$ENV{REMOTE_IP}/g и выдает тебе результат.

думаю, дальше обяснять не надо? ;)

arsi ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.