Mozilla Firefox "jar:" Protocol Handling Cross-Site Scripting Security Issue

Printable View

09.11.2007, 17:41
ALEX(XX)

Mozilla Firefox "jar:" Protocol Handling Cross-Site Scripting Security Issue

[B]Secunia Advisory:[/B] SA27605 [B]Release Date:[/B] 2007-11-09

[B]Critical:[/B] [URL="http://secunia.com/about_secunia_advisories/"][IMG]http://secunia.com/gfx/crit_2.gif[/IMG] [COLOR=#0000ff]Less critical[/COLOR][/URL]

[B]Impact:[/B] Cross Site Scripting

[B]Where:[/B] From remote

[B]Solution Status:[/B] [COLOR=red][B]Unpatched[/B][/COLOR]

[B]Software:[/B][URL="http://secunia.com/product/12434/"][COLOR=#0000ff]Mozilla Firefox 2.0.x[/COLOR][/URL]

[B]This advisory is currently marked as unpatched![/B]
- [URL="http://corporate.secunia.com/how_to_buy/38/vulnerability_information_products_try/?ref=SA27605"][COLOR=#0000ff]Companies can be alerted when a patch is released![/COLOR][/URL]

[B]Description[/B]:
A security issue has been reported in Mozilla Firefox, which can be exploited by malicious people to conduct cross-site scripting attacks.
The problem is that the "jar:" protocol handler does not validate the MIME type of the contents of an archive, which are then executed in the context of the site hosting the archive. This can be exploited to conduct cross-site scripting attacks on sites that allow a user to upload certain files (e.g. .zip, .png, .doc, .odt, .txt).

[B]Solution[/B]:
Do not follow untrusted "jar:" links or browse untrusted websites.

[B]Provided and/or discovered by[/B]:
Reported by Jesse Ruderman in a Bugzilla entry.

Independently discovered by pdp.

[B]Original Advisory[/B]:
Mozilla:
[URL="https://bugzilla.mozilla.org/show_bug.cgi?id=369814"][COLOR=#0000ff]https://bugzilla.mozilla.org/show_bug.cgi?id=369814[/COLOR][/URL]

GNUCITIZEN:
[URL="http://www.gnucitizen.org/blog/web-mayhem-firefoxs-jar-protocol-issues"][COLOR=#0000ff]http://www.gnucitizen.org/blog/web-mayhem-firefoxs-jar-protocol-issues[/COLOR][/URL]

[B]Other References[/B]:
US-CERT VU#715737:
[URL="http://www.kb.cert.org/vuls/id/715737"][COLOR=#0000ff]http://www.kb.cert.org/vuls/id/715737[/COLOR][/URL]

[URL="http://secunia.com/advisories/27605/"]secunia.com[/URL]

PS: Вкратце на русском: Возможность проведения удалённым пользователем CSS атаки.
Если я правильно понял, временное решение не следовать по ссылкам с jar и не посещать непроверенные сайты.
09.11.2007, 19:34
Макcим

[QUOTE]Самый недырявый браузер :)[/QUOTE]До выхода патча NoScript прикроет.
09.11.2007, 20:40
ALEX(XX)

Межсайтовый скриптинг в Mozilla Firefox

[B]09 ноября, 2007[/B]

[B]Программа: [/B]Mozilla Firefox 2.0.0.9, возможно более ранние версии

[B]Опасность: [COLOR=green]Низкая[/COLOR][/B]

[B]Наличие эксплоита: [COLOR=green]Нет[/COLOR][/B]

[B]Описание: [/B]
Уязвимость позволяет удаленному пользователю произвести XSS нападение.
Уязвимость существует из-за того, что обработчик протокола "jar:" не проверяет MIME тип содержимого архивов. Удаленный пользователь может загрузить на сервер определенные файлы (например, .zip, .png, .doc, .odt, .txt) и выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

[B]URL производителя: [/B][URL="http://www.mozilla.com"][COLOR=#0000ff]www.mozilla.com[/COLOR][/URL]

[B]Решение: [/B]Способов устранения уязвимости не существует в настоящее время.

[URL="http://www.securitylab.ru/vulnerability/307275.php"]securitylab.ru[/URL]
10.11.2007, 00:29
DVi

этo cepьeзнo IMHO. noscript нe пpикpoeт, ибo exploit cpaбoтaeт и бeз cкpиптoв. пpeдлoжeниe нe xoдить пo ccылкaм нeцeлecooбpaзнo - iframe зaгpyзит @jar:@ бeз вoпpocoв.
10.11.2007, 00:36
ALEX(XX)

DVI, спасибо за комментарий!
10.11.2007, 08:39
Макcим

[QUOTE=DVi;149153]этo cepьeзнo IMHO. noscript нe пpикpoeт, ибo exploit cpaбoтaeт и бeз cкpиптoв. пpeдлoжeниe нe xoдить пo ccылкaм нeцeлecooбpaзнo - iframe зaгpyзит @jar:@ бeз вoпpocoв.[/QUOTE]Если Вы помните, в NoScript есть модуль защиты против XSS.
10.11.2007, 10:54
drongo

Как то все забыли что от iframe есть плагин в noscript, правда сейчас политика примитивная: всех блокирует или никого- я уже написал разработчику чтобы сделал как в самом noscript- должен запоминать нужные iframe .Вы тоже напишите .
10.11.2007, 11:05
Макcим

[QUOTE]Вы тоже напишите .[/QUOTE]Английского не знаю. Написал бы...
10.11.2007, 11:58
Numb

[quote=drongo;149203]Как то все забыли что от iframe есть плагин в noscript, правда сейчас политика примитивная: всех блокирует или никого- я уже написал разработчику чтобы сделал как в самом noscript- должен запоминать нужные iframe .Вы тоже напишите .[/quote] Не совсем так: прикрывает все, но в ходе работы со страницей позволяет временно разрешить нужные.
10.11.2007, 12:11
Макcим

Вместе со скриптами.
10.11.2007, 12:49
DVi

[QUOTE=drongo;149203]Как то все забыли что от iframe есть плагин в noscript/QUOTE]
я o тaкoм нe знaл, cпacибo. a ecли exploit paзмecтить eщe бaнaльнee - в тeгe img src?

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

IMHO к XSS этo нe имeeт oтнoшeния
10.11.2007, 13:55
drongo

[quote]paзмecтить eщe бaнaльнee - в тeгe img src?[/quote]
Эта опция уже была раньше чем средство от "Iframe" ;)
Блокировать " web bugs". ([url]http://w2.eff.org/Privacy/Marketing/web_bug.html[/url])
По умолчанию, если не ошибаюсь эти полезные опции отключены, нужно залезть и поставить галки .
10.11.2007, 15:24
DVi

нeзaчeм дeлaть img нeвидимым - и нe зa чтo бyдeт лoвить...
10.11.2007, 17:23
Макcим

[B]DVi[/B], не будьте пессимистом. Обновление выйдет раньше, чем уязвимость начнут эксплойтить.
10.11.2007, 20:56
ALEX(XX)

[quote=Maxim;149280][B]DVi[/B], не будьте пессимистом. Обновление выйдет раньше, чем уязвимость начнут эксплойтить.[/quote]
Посмотрим
12.11.2007, 20:20
ALEX(XX)

Firefox «на службе» фишеров: кража реквизитов

Используя функцию Firefox, позволяющую запрашивать отдельные файлы из ZIP-архивов, злоумышленники могут обойти проверку вредоносного контента на популярных сайтах, утверждает ИБ-специалист Петко Петков (Petko Petkov). По утверждению г-на Петкова, уязвимость существует уже почти год, она описана в базе данных уязвимостей Mozilla, проекте Bugzilla. После публикации в блоге ею заинтересовался US-CERT и выпустил собственное уведомление, сообщает Heise-Security.co.uk. Атака межсайтового скриптинга – выполнения JavaScript-кода с одного сайта в контексте другого – в данном случае не является недостатком Firefox и может быть вызвана отсутствием проверки zip-файлов, допустимых к загрузке на популярных ресурсах, например, MySpace. Протокол jar позволяет обратиться к файлу в одноименном Java-архиве, который, по сути, является обычным zip-файлом. Злоумышленник может загрузить zip-архив, содержащий вредоносный файл, например, на MySpace, и создать ссылку на этот файл, например, jar:[url]http://site.com/archive.jar!/evil.htm[/url]. При переходе по ссылке файл evil.htm выполнится в контексте MySpace. Проблема заключается в том, что крупные сайты социальных сетей, как правило, не проверяют содержимое архивов, загруженных пользователем.

[URL="http://www.uinc.ru/news/sn8932.html"]uinc.ru[/URL]
12.11.2007, 20:43
[500mhz]

ну дык юзайте Оперу
12.11.2007, 21:21
Макcим

Кстати вышло обновление NoScript, теперь все блокируется.
27.11.2007, 08:16
Макcим

Сегодня вышло обновление закрывающее уязвимость. Разработчикам браузера потребовалось 18 дней чтобы выпустить патч, автору NoScript ещё меньше. Вряд ли за это время кто-то пострадал. В IE всё также оперативно?
27.11.2007, 21:24
SDA

Fixed in Firefox 2.0.0.10
MFSA 2007-39 Referer-spoofing via window.location race condition
MFSA 2007-38 Memory corruption vulnerabilities (rv:1.8.1.10)
MFSA 2007-37 jar: URI scheme XSS hazard
[url]http://www.mozilla.org/security/announce/2007/mfsa2007-39.html[/url]
[url]http://www.mozilla.org/security/announce/2007/mfsa2007-38.html[/url]
[url]http://www.mozilla.org/security/announce/2007/mfsa2007-37.html[/url]