-
Mozilla Firefox "jar:" Protocol Handling Cross-Site Scripting Security Issue
Secunia Advisory: SA27605 Release Date: 2007-11-09
Critical: Less critical
Impact: Cross Site Scripting
Where: From remote
Solution Status: Unpatched
Software:Mozilla Firefox 2.0.x
This advisory is currently marked as unpatched!
- Companies can be alerted when a patch is released!
Description:
A security issue has been reported in Mozilla Firefox, which can be exploited by malicious people to conduct cross-site scripting attacks.
The problem is that the "jar:" protocol handler does not validate the MIME type of the contents of an archive, which are then executed in the context of the site hosting the archive. This can be exploited to conduct cross-site scripting attacks on sites that allow a user to upload certain files (e.g. .zip, .png, .doc, .odt, .txt).
Solution:
Do not follow untrusted "jar:" links or browse untrusted websites.
Provided and/or discovered by:
Reported by Jesse Ruderman in a Bugzilla entry.
Independently discovered by pdp.
Original Advisory:
Mozilla:
https://bugzilla.mozilla.org/show_bug.cgi?id=369814
GNUCITIZEN:
http://www.gnucitizen.org/blog/web-mayhem-firefoxs-jar-protocol-issues
Other References:
US-CERT VU#715737:
http://www.kb.cert.org/vuls/id/715737
secunia.com
PS: Вкратце на русском: Возможность проведения удалённым пользователем CSS атаки.
Если я правильно понял, временное решение не следовать по ссылкам с jar и не посещать непроверенные сайты.
Left home for a few days and look what happens...
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Самый недырявый браузер
До выхода патча NoScript прикроет.
-
-
Межсайтовый скриптинг в Mozilla Firefox
09 ноября, 2007
Программа: Mozilla Firefox 2.0.0.9, возможно более ранние версии
Опасность: Низкая
Наличие эксплоита: Нет
Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение.
Уязвимость существует из-за того, что обработчик протокола "jar:" не проверяет MIME тип содержимого архивов. Удаленный пользователь может загрузить на сервер определенные файлы (например, .zip, .png, .doc, .odt, .txt) и выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.
URL производителя: www.mozilla.com
Решение: Способов устранения уязвимости не существует в настоящее время.
securitylab.ru
Left home for a few days and look what happens...
-
-
этo cepьeзнo IMHO. noscript нe пpикpoeт, ибo exploit cpaбoтaeт и бeз cкpиптoв. пpeдлoжeниe нe xoдить пo ccылкaм нeцeлecooбpaзнo - iframe зaгpyзит @jar:@ бeз вoпpocoв.
-
-
DVI, спасибо за комментарий!
Left home for a few days and look what happens...
-
-
Сообщение от
DVi
этo cepьeзнo IMHO. noscript нe пpикpoeт, ибo exploit cpaбoтaeт и бeз cкpиптoв. пpeдлoжeниe нe xoдить пo ccылкaм нeцeлecooбpaзнo - iframe зaгpyзит @jar:@ бeз вoпpocoв.
Если Вы помните, в NoScript есть модуль защиты против XSS.
-
-
Как то все забыли что от iframe есть плагин в noscript, правда сейчас политика примитивная: всех блокирует или никого- я уже написал разработчику чтобы сделал как в самом noscript- должен запоминать нужные iframe .Вы тоже напишите .
-
-
Английского не знаю. Написал бы...
-
-
Сообщение от
drongo
Как то все забыли что от iframe есть плагин в noscript, правда сейчас политика примитивная: всех блокирует или никого- я уже написал разработчику чтобы сделал как в самом noscript- должен запоминать нужные iframe .Вы тоже напишите .
Не совсем так: прикрывает все, но в ходе работы со страницей позволяет временно разрешить нужные.
-
-
-
-
[QUOTE=drongo;149203]Как то все забыли что от iframe есть плагин в noscript/QUOTE]
я o тaкoм нe знaл, cпacибo. a ecли exploit paзмecтить eщe бaнaльнee - в тeгe img src?
Добавлено через 2 минуты
IMHO к XSS этo нe имeeт oтнoшeния
Последний раз редактировалось DVi; 10.11.2007 в 12:49.
Причина: Добавлено
-
-
paзмecтить eщe бaнaльнee - в тeгe img src?
Эта опция уже была раньше чем средство от "Iframe"
Блокировать " web bugs". (http://w2.eff.org/Privacy/Marketing/web_bug.html)
По умолчанию, если не ошибаюсь эти полезные опции отключены, нужно залезть и поставить галки .
-
-
нeзaчeм дeлaть img нeвидимым - и нe зa чтo бyдeт лoвить...
-
-
DVi, не будьте пессимистом. Обновление выйдет раньше, чем уязвимость начнут эксплойтить.
-
-
Сообщение от
Maxim
DVi, не будьте пессимистом. Обновление выйдет раньше, чем уязвимость начнут эксплойтить.
Посмотрим
Left home for a few days and look what happens...
-
-
Firefox «на службе» фишеров: кража реквизитов
Используя функцию Firefox, позволяющую запрашивать отдельные файлы из ZIP-архивов, злоумышленники могут обойти проверку вредоносного контента на популярных сайтах, утверждает ИБ-специалист Петко Петков (Petko Petkov). По утверждению г-на Петкова, уязвимость существует уже почти год, она описана в базе данных уязвимостей Mozilla, проекте Bugzilla. После публикации в блоге ею заинтересовался US-CERT и выпустил собственное уведомление, сообщает Heise-Security.co.uk. Атака межсайтового скриптинга – выполнения JavaScript-кода с одного сайта в контексте другого – в данном случае не является недостатком Firefox и может быть вызвана отсутствием проверки zip-файлов, допустимых к загрузке на популярных ресурсах, например, MySpace. Протокол jar позволяет обратиться к файлу в одноименном Java-архиве, который, по сути, является обычным zip-файлом. Злоумышленник может загрузить zip-архив, содержащий вредоносный файл, например, на MySpace, и создать ссылку на этот файл, например, jar:http://site.com/archive.jar!/evil.htm. При переходе по ссылке файл evil.htm выполнится в контексте MySpace. Проблема заключается в том, что крупные сайты социальных сетей, как правило, не проверяют содержимое архивов, загруженных пользователем.
uinc.ru
Left home for a few days and look what happens...
-
-
-
Кстати вышло обновление NoScript, теперь все блокируется.
-
-
Сегодня вышло обновление закрывающее уязвимость. Разработчикам браузера потребовалось 18 дней чтобы выпустить патч, автору NoScript ещё меньше. Вряд ли за это время кто-то пострадал. В IE всё также оперативно?
-
-
Fixed in Firefox 2.0.0.10
MFSA 2007-39 Referer-spoofing via window.location race condition
MFSA 2007-38 Memory corruption vulnerabilities (rv:1.8.1.10)
MFSA 2007-37 jar: URI scheme XSS hazard
http://www.mozilla.org/security/anno...sa2007-39.html
http://www.mozilla.org/security/anno...sa2007-38.html
http://www.mozilla.org/security/anno...sa2007-37.html
-