LINUX.ORG.RU

Критическая уязвимость в Firefox 2.0


0

0

Уязвимость находится в компонентах Password Manager, который сохраняет пароли, чтобы пользователю не приходилось их вводить заново при каждом посещении сайтов. Используется неспособность Password Manager проверять легальность URL. Уязвимость была открыла Робертом Чапином, владельцем Chapin Information Services. Предполагается, что ошибка работает во всех версиях Firefox. Уязвимость уже используется хакерами на сайте MySpace, перенаправляя пользователей на ложную страницу, где вводятся пароли. Mozilla Foundation советует пользователям отключить Password Manager до выхода соответствующего патча, отношение к уязвимости других браузеров пока изучается.

>>> Оригинал новости

★★★

Проверено: Shaman007 ()

Ну это забавно. Давно думал, что Firefox - это круто. Но с выходом 2.0 перешел на Konqueror. Отлично работает и проц почти не жрет при выкачивании файлов. (Почему-то Firefox иногда кушает ~50% CPU)

anonymous
()

Нда.. приятная новость, сон как рукой сняло.

manokur ★★
()
Ответ на: комментарий от Somewho

> зачот :) всегда считал FF поделием :)

А прочитать баг не дано?

это очередная вариация XSS. Уязвимы firefox, mozilla (seamonkey), ie6 (возможно и 7), safari (и видимо konqueror тоже).

Не уязвима Opera, там принципиально другой подход к хранинию паролей.

Но это не повод катить бочку на ff

Farcaller ★★
()

IE7 так же affected.

r ★★★★★
()

Хотя и у Оперы не все идеально:

> * They'll worry about semi-phishing against Opera users, assuming Opera's only defense is requiring a click on the "wand" button.

Таким образом надо просто осторожно серфиться и быть внимательным. И пароли не сохранять :)

Farcaller ★★
()
Ответ на: комментарий от Farcaller

> Таким образом надо просто осторожно серфиться и быть внимательным. И пароли не сохранять :)

А ещё лучше от Интернет отключиться.

anonymous
()

да там все просто - невидимый inner frame на сайте с формой в котором содержаться поля ввода login,password. Они автоматически заполняются пассворд менеджером. javascript ждет пару секунд потом меняет акшен формы и делает сабмит. С новым годом.

r ★★★★★
()

> Уязвимость уже используется хакерами на сайте MySpace, перенаправляя пользователей на ложную страницу, где вводятся пароли.

нормально, блин

Syncro ★★★★★
()

Посмотрим, в каком браузере раньше пофиксят...

the_one
()

Никогда не пользовался этим пассворд манагером... а зочем? действительно, как сказал один ананимус - маветон :)

Cy6erBr4in ★★★
()
Ответ на: комментарий от Somewho

>p.s. как сидел на опере 8 лет так и буду сидеть...

зря

зы: ушел с винды и этой поделки для пальцатых вантузоидов exUSSR стоящей в одном ряду с bat-ом far-ом и totalcommander-ом

anonymous
()
Ответ на: комментарий от anonymous

правильно, лучше использовать один-два простеньких пароля на всех десятках сайтов требующих регистрации

Syncro ★★★★★
()
Ответ на: комментарий от Farcaller

у оперы есть такая вещь в пассворд-манагере - ассоциировать логин/пасс с конкретным урлом, а не целым сайтом.. думаю это поможет :)

p.s.собственно всегда и ассоциировал с конкретным урлом а не сайтом

Somewho ★★
()
Ответ на: комментарий от anonymous

> хранить пароли в браузере - моветон

+1; Просто не надо делать на своей рабочей станции logout с тех сайтов, которые часто посещаешь :).

kondor ★★★
()

Вот еще одно наглядное доказательство, что безопасных сетевых приложений (в частности, браузеров) просто не бывает. И лозунг "самый безопасный браузер на земле" очередной грязный пиар, только на этот раз не от MS.

anonymous
()

Ну вот, опять что-то нашли..

MiracleMan ★★★★★
()
Ответ на: комментарий от anonymous

А TotalCommander и Bat за что обосрали?

ЗЫ Щас вылезут красноглазые и начнут кидать в меня катяхами. Руки только не запачкайте, господа!

anonymous
()

>For information, I tried the demo at Heise from comment #66 with >Konqueror (3.5.5) and it failed to steal the password. However I also >tried with FireFox-1.5.0.8, and it failed to steal the password there >as well.

anonymous
()
Ответ на: комментарий от kavs

Расширение NoScript ? скорее YesScript расширение, а NoScript наооборот, не знаю как правильно сказать, сужение чтоли... ;)

anonymous
()
Ответ на: комментарий от Somewho

>у оперы есть такая вещь в пассворд-манагере - ассоциировать логин/пасс с конкретным урлом, а не целым сайтом.. думаю это поможет :)

нет.

r ★★★★★
()
Ответ на: комментарий от anonymous

> а far за что обосрали ? Ну у чувака просто ума не хватило с ним рабоботать

pento ★★★★★
()
Ответ на: комментарий от Cy6erBr4in

> Никогда не пользовался этим пассворд манагером...

На все сайты один пароль?

Ходишь всего на два сайта?

Обладаешь абсолютной памятью?

atrus ★★★★★
()

А я вот недавно на softwareforums.intel.com зайти не мог. Может в этом дело было ? Вот же мать их... ФФ 2.0.

anonymous
()

а мне понравился клипчик по ссылке с багзиллы ; "expanding previous test case"

anonymous
()

Сильно сомневаюсь что проблема настолько критична, а то что внимательно надо ходить по сети не нажимая куда попало мышкой - это ещё дедушка Ленин завещал, ну или кто-то типа того. Новость - спам!

los_nikos ★★★★★
()
Ответ на: комментарий от kavs

Буахаха!! Не спасёт! И отключение JavaScript не спасёт!

Это не просто баг в движке, это недосмотр в идее хранения паролей во всех современных браузерах.

timf
()
Ответ на: комментарий от timf

проблема решается на уровне изготовителей сатов. вместо <input typy=password name="password"> надо писать <input type=password name="xGrhdkrek-sitedomain-date">

Все.

anonymous
()
Ответ на: комментарий от timf

я так и не понял, а как на счёт ФФ 1.5 ,он тоже уязвим?

djung ★★
()
Ответ на: комментарий от timf

>> хранить пароли в браузере - моветон

+2

anonymous
()

мда, из всех комментаторов поняли в чем дело всего пара человек. и noscript-то тут причем? бред собачий. печальная картина.

kmike ★★
()
Ответ на: комментарий от anonymous

> проблема решается на уровне изготовителей сатов. вместо <input typy=password name="password"> надо писать <input type=password name="xGrhdkrek-sitedomain-date">

и чего это даст? наличие "date" делает запоминание паролей в принцыпе невозможным, и если кому то захочется чтоб браузер запомнил пароль, он (браузер) будет выдавать запрос на сохранение при каждой попытке входа. все остальные навороты ("xGrhdkrek-sitedomain-") подделаваются без каких либо проблем. если имя будет генериться, например, раз в день, то злоумышленнику ничего не будет стоять с утра обратиться к оригинальному сайту, выцепить сигнатуру каким-нибудь регекспом вроде m/<input\s+type=password\s+name=\"([^\"]+)\">/i и подставить $1 в свою форму...

arsi ★★★★★
()
Ответ на: комментарий от kmike

>я так и не понял, а как на счёт ФФ 1.5 ,он тоже уязвим? Да.

И вообще, FF выдает ворнинг о том, что вы пытаетесь заслать данные на другой УРЛ. Если пользователь нормальный, он нажмет НЕТ и ничего страшного не произойдет. ИЕ, к примеру, ворнинг не выдает вообще.

По поводу уязвимости оперы и сохранения пароля для определенного урла: Ничем это не спасает, курите ссылку.

>мда, из всех комментаторов поняли в чем дело всего пара человек. и noscript-то тут причем? бред собачий. печальная картина. +1

a-x
()
Ответ на: комментарий от anonymous

>проблема решается на уровне изготовителей сатов. вместо <input typy=password name="password"> надо писать <input type=password name="xGrhdkrek-sitedomain-date">

>Все.

И что это должно изменить? Просто тебе в iframe надо будет запихнуть не статический html, а скрипт. Или обновлять htmlку удалённо каждые N минут.

Я думаю, тут лучше сделать так, чтобы из javascript нельзя было менять ACTION, если в FORM есть TYPE=PASSWORD. А запоминать комбинацию domain/name/action.

Хотя это может сильно усложнить жизнь скриптам, которые показывают степень надёжности пароля при регистрации или шифруют его при логине.

Davidov ★★★★
()
Ответ на: комментарий от kmike

> и noscript-то тут причем?

noscript при том, что если сам нажал на кнопку на подставном сайте, не обратив внимания на несоответствие логина и странички, значит сам дурак, а если только ввел сцилку или нажал на линк в гугле, а оно уже само все сделало (т.е. передало все что нужно кому нужно... т.е. кому не нужно :) ), то это намного хуже...

arsi ★★★★★
()
Ответ на: комментарий от arsi

запоминание пароля не сработает - вот что главное.

А вообще, тогда можно добавить и REMOTE_IP в имя переменной пароля. Ну и проверять естественно на стороне сервера (ибо это очень легко). <input type="password" name="pass-123.123.123.123"> Ну и как тогда обойти это?

anonymous
()
Ответ на: комментарий от kmike

>и noscript-то тут причем?

имхо, предлагалось отключить выполнение скриптов в браузере. Чтоб никто ничего не подменил и не "засабмитил" :)

И вообще, моветон - это сама такая "авторизация" :/ с позволенья сказать, при которой пароль вводится неизвестно где и пересылается неизвестно кому по открытым каналам в открытом виде...

(ну, "моветон", может и слишком. но соображать же надо!!! где использовать...)

grinn ★★
()
Ответ на: комментарий от Davidov

> Хотя это может сильно усложнить жизнь скриптам, которые показывают степень надёжности пароля при регистрации или шифруют его при логине.

Шифровать пароль через JavaScript практически бесполезно - если можно перехватить сам пароль, то можно перехватить зашифрованный пароль и данные, которые использовались для шифрования, а не будешь же реализовывать на JavaScript криптоалгоритмы с открытым ключём...

askh ★★★★
()
Ответ на: комментарий от anonymous

> А вообще, тогда можно добавить и REMOTE_IP в имя переменной пароля. Ну и проверять естественно на стороне сервера (ибо это очень легко). <input type="password" name="pass-123.123.123.123"> Ну и как тогда обойти это?

элементарно Ватсон, достаточно просекти эту тему и соотв. образом подправить скрипт генерации ложной формы. тогда:

1) ты ображаешься к оригинальному сайту с исходящим ипником 123.123.123.123, получаешь форму с полем <input type="password" name="pass-123.123.123.123">.

2) злоумышленник обращается к ориг. сайту с исх. ипником 111.111.111.111, получает <input type="password" name="pass-111.111.111.111">; делает s/111\.111\.111\.111/%%remote-ip%%/g.

3) ты обращаешься к якобы-ориг-сайту, но попадаешь на сайт зл.ум.а (со своим исходящим ипником 123.123.123.123 !!!), зл.ум. делает s/%%remote-ip%%/$ENV{REMOTE_IP}/g и выдает тебе результат.

думаю, дальше обяснять не надо? ;)

arsi ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.