Показано с 1 по 20 из 20.

Mozilla Firefox "jar:" Protocol Handling Cross-Site Scripting Security Issue

  1. #1
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для ALEX(XX)
    Регистрация
    31.03.2005
    Адрес
    Чернигов
    Сообщений
    10,777
    Вес репутации
    3708

    Mozilla Firefox "jar:" Protocol Handling Cross-Site Scripting Security Issue

    Secunia Advisory: SA27605 Release Date: 2007-11-09

    Critical: Less critical

    Impact: Cross Site Scripting

    Where: From remote

    Solution Status: Unpatched

    Software:Mozilla Firefox 2.0.x

    This advisory is currently marked as unpatched!
    - Companies can be alerted when a patch is released!

    Description:
    A security issue has been reported in Mozilla Firefox, which can be exploited by malicious people to conduct cross-site scripting attacks.
    The problem is that the "jar:" protocol handler does not validate the MIME type of the contents of an archive, which are then executed in the context of the site hosting the archive. This can be exploited to conduct cross-site scripting attacks on sites that allow a user to upload certain files (e.g. .zip, .png, .doc, .odt, .txt).

    Solution:
    Do not follow untrusted "jar:" links or browse untrusted websites.

    Provided and/or discovered by:
    Reported by Jesse Ruderman in a Bugzilla entry.

    Independently discovered by pdp.

    Original Advisory:
    Mozilla:
    https://bugzilla.mozilla.org/show_bug.cgi?id=369814

    GNUCITIZEN:
    http://www.gnucitizen.org/blog/web-mayhem-firefoxs-jar-protocol-issues

    Other References:
    US-CERT VU#715737:
    http://www.kb.cert.org/vuls/id/715737

    secunia.com

    PS: Вкратце на русском: Возможность проведения удалённым пользователем CSS атаки.
    Если я правильно понял, временное решение не следовать по ссылкам с jar и не посещать непроверенные сайты.
    Left home for a few days and look what happens...

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    Самый недырявый браузер
    До выхода патча NoScript прикроет.

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для ALEX(XX)
    Регистрация
    31.03.2005
    Адрес
    Чернигов
    Сообщений
    10,777
    Вес репутации
    3708

    Межсайтовый скриптинг в Mozilla Firefox

    09 ноября, 2007

    Программа: Mozilla Firefox 2.0.0.9, возможно более ранние версии

    Опасность: Низкая

    Наличие эксплоита: Нет

    Описание:
    Уязвимость позволяет удаленному пользователю произвести XSS нападение.
    Уязвимость существует из-за того, что обработчик протокола "jar:" не проверяет MIME тип содержимого архивов. Удаленный пользователь может загрузить на сервер определенные файлы (например, .zip, .png, .doc, .odt, .txt) и выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

    URL производителя: www.mozilla.com

    Решение: Способов устранения уязвимости не существует в настоящее время.

    securitylab.ru
    Left home for a few days and look what happens...

  5. #4
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для DVi
    Регистрация
    28.08.2006
    Адрес
    moscow
    Сообщений
    3,698
    Вес репутации
    2151
    этo cepьeзнo IMHO. noscript нe пpикpoeт, ибo exploit cpaбoтaeт и бeз cкpиптoв. пpeдлoжeниe нe xoдить пo ccылкaм нeцeлecooбpaзнo - iframe зaгpyзит @jar:@ бeз вoпpocoв.

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для ALEX(XX)
    Регистрация
    31.03.2005
    Адрес
    Чернигов
    Сообщений
    10,777
    Вес репутации
    3708
    DVI, спасибо за комментарий!
    Left home for a few days and look what happens...

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    Цитата Сообщение от DVi Посмотреть сообщение
    этo cepьeзнo IMHO. noscript нe пpикpoeт, ибo exploit cpaбoтaeт и бeз cкpиптoв. пpeдлoжeниe нe xoдить пo ccылкaм нeцeлecooбpaзнo - iframe зaгpyзит @jar:@ бeз вoпpocoв.
    Если Вы помните, в NoScript есть модуль защиты против XSS.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    Как то все забыли что от iframe есть плагин в noscript, правда сейчас политика примитивная: всех блокирует или никого- я уже написал разработчику чтобы сделал как в самом noscript- должен запоминать нужные iframe .Вы тоже напишите .

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    Вы тоже напишите .
    Английского не знаю. Написал бы...

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    847
    Цитата Сообщение от drongo Посмотреть сообщение
    Как то все забыли что от iframe есть плагин в noscript, правда сейчас политика примитивная: всех блокирует или никого- я уже написал разработчику чтобы сделал как в самом noscript- должен запоминать нужные iframe .Вы тоже напишите .
    Не совсем так: прикрывает все, но в ходе работы со страницей позволяет временно разрешить нужные.

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    Вместе со скриптами.

  12. #11
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для DVi
    Регистрация
    28.08.2006
    Адрес
    moscow
    Сообщений
    3,698
    Вес репутации
    2151
    [QUOTE=drongo;149203]Как то все забыли что от iframe есть плагин в noscript/QUOTE]
    я o тaкoм нe знaл, cпacибo. a ecли exploit paзмecтить eщe бaнaльнee - в тeгe img src?

    Добавлено через 2 минуты

    IMHO к XSS этo нe имeeт oтнoшeния
    Последний раз редактировалось DVi; 10.11.2007 в 12:49. Причина: Добавлено

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    paзмecтить eщe бaнaльнee - в тeгe img src?
    Эта опция уже была раньше чем средство от "Iframe"
    Блокировать " web bugs". (http://w2.eff.org/Privacy/Marketing/web_bug.html)
    По умолчанию, если не ошибаюсь эти полезные опции отключены, нужно залезть и поставить галки .

  14. #13
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для DVi
    Регистрация
    28.08.2006
    Адрес
    moscow
    Сообщений
    3,698
    Вес репутации
    2151
    нeзaчeм дeлaть img нeвидимым - и нe зa чтo бyдeт лoвить...

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    DVi, не будьте пессимистом. Обновление выйдет раньше, чем уязвимость начнут эксплойтить.

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для ALEX(XX)
    Регистрация
    31.03.2005
    Адрес
    Чернигов
    Сообщений
    10,777
    Вес репутации
    3708
    Цитата Сообщение от Maxim Посмотреть сообщение
    DVi, не будьте пессимистом. Обновление выйдет раньше, чем уязвимость начнут эксплойтить.
    Посмотрим
    Left home for a few days and look what happens...

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для ALEX(XX)
    Регистрация
    31.03.2005
    Адрес
    Чернигов
    Сообщений
    10,777
    Вес репутации
    3708

    Firefox «на службе» фишеров: кража реквизитов

    Используя функцию Firefox, позволяющую запрашивать отдельные файлы из ZIP-архивов, злоумышленники могут обойти проверку вредоносного контента на популярных сайтах, утверждает ИБ-специалист Петко Петков (Petko Petkov). По утверждению г-на Петкова, уязвимость существует уже почти год, она описана в базе данных уязвимостей Mozilla, проекте Bugzilla. После публикации в блоге ею заинтересовался US-CERT и выпустил собственное уведомление, сообщает Heise-Security.co.uk. Атака межсайтового скриптинга – выполнения JavaScript-кода с одного сайта в контексте другого – в данном случае не является недостатком Firefox и может быть вызвана отсутствием проверки zip-файлов, допустимых к загрузке на популярных ресурсах, например, MySpace. Протокол jar позволяет обратиться к файлу в одноименном Java-архиве, который, по сути, является обычным zip-файлом. Злоумышленник может загрузить zip-архив, содержащий вредоносный файл, например, на MySpace, и создать ссылку на этот файл, например, jar:http://site.com/archive.jar!/evil.htm. При переходе по ссылке файл evil.htm выполнится в контексте MySpace. Проблема заключается в том, что крупные сайты социальных сетей, как правило, не проверяют содержимое архивов, загруженных пользователем.

    uinc.ru
    Left home for a few days and look what happens...

  18. #17
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для [500mhz]
    Регистрация
    05.11.2007
    Сообщений
    290
    Вес репутации
    119
    ну дык юзайте Оперу

  19. #18
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    Кстати вышло обновление NoScript, теперь все блокируется.

  20. #19
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    Сегодня вышло обновление закрывающее уязвимость. Разработчикам браузера потребовалось 18 дней чтобы выпустить патч, автору NoScript ещё меньше. Вряд ли за это время кто-то пострадал. В IE всё также оперативно?

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3166
    Fixed in Firefox 2.0.0.10
    MFSA 2007-39 Referer-spoofing via window.location race condition
    MFSA 2007-38 Memory corruption vulnerabilities (rv:1.8.1.10)
    MFSA 2007-37 jar: URI scheme XSS hazard
    http://www.mozilla.org/security/anno...sa2007-39.html
    http://www.mozilla.org/security/anno...sa2007-38.html
    http://www.mozilla.org/security/anno...sa2007-37.html

Похожие темы

  1. Блокировка "антивирусом" Security site
    От unka в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 29.01.2010, 10:54
  2. Ответов: 12
    Последнее сообщение: 19.05.2008, 11:30
  3. WEB Атаки класса Cross-Site-Scripting::.
    От SDA в разделе Сетевые атаки
    Ответов: 0
    Последнее сообщение: 12.06.2005, 22:41

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01573 seconds with 16 queries