PDF.js-эксплоит на firefox

Firefox exploit found in the wild

The exploit leaves no trace it has been run on the local machine. If you use Firefox on Windows or Linux it would be prudent to change any passwords and keys found in the above-mentioned files if you use the associated programs.

[modreator]
Комментарии по теме перенесены сюда из топика «Юмор».
[/moderator]

На страницу: 1, 2 След.

Комментарии

—	pgprubot (07/08/2015 14:37) профиль/связь <#> комментариев: 511 документов: 2 редакций: 70

> Firefox exploit found in the wild

Текущего TBB это касается? Я так понял, без JS он не сработает в любом случае.

—	Гость_ (07/08/2015 15:21) профиль/связь <#> комментариев: 450 документов: 10 редакций: 13

> Текущего TBB это касается?

Да, судя по исправлению, код в ESR из Torbrowser уязвим.

> Я так понял, без JS он не сработает в любом случае.

Если JS отключен через опцию javascript.enabled. Но если запрет через NoScript тогда, возможно, сработает.

—	pgprubot (07/08/2015 15:28) профиль/связь <#> комментариев: 511 документов: 2 редакций: 70

NoScript на что-то влияет в плане скриптов, когда выставлено javascript.enabled=false? Меня смущает то, что NS пишет разную служебную информацию, касающуюся скриптов на страницах (типа что-то заблокировано), даже если JS полностью выключен через about:config. Казалось бы, в таком случае NS вообще не должен видеть скрипты на страницах.

—	Гость_ (07/08/2015 17:09) профиль/связь <#> комментариев: 450 документов: 10 редакций: 13

> NoScript на что-то влияет в плане скриптов, когда выставлено javascript.enabled=false?

В своем FAQ пишут, что не влияет.

otherwise JavaScript is disabled everywhere even if allowed by NoScript.

—	Гость_ (07/08/2015 18:02) профиль/связь <#> комментариев: 450 документов: 10 редакций: 13

> Firefox exploit found in the wild

Если кому-то интересно, чуть больше подробностей от пользователя-жертвы эксплоита.

it's me. I discovered the exploit in the wild when I became a victim of it. Skill-set limited. I was able to identify it and understand what it basically does, but not much more.

I reported this 0-day. It used a PDF.JS same origin policy violation to access local files. You should be safe because you have javascript disabled and pdfjs.disabled set to true. There's no way for the script to run. It was on a international news website operating from Russia. The exploit was not on an ad network. The exploit was simply injected on every news article page through an iframe. Therefore I assume the news site was compromised. It could have been deliberately injected by the website operators, but I highly doubt it. The exploit targeted developers or tech-savvy people. On Linux, it targeted the contents of the /.ssh directory and some other sensitive files. I should say that I am not a security expert and I came across this 0-day by accident.

The script triggered a file dialog showing it was trying to access a local file. I opened the Developer Tools and saw all kinds of other files being accessed, including my private and public keys. I nearly got a heart attack. I quickly revoked all SSH keys and started monitoring the requests to narrow it down before I submitted the bug ticket with all the information I had, including the exploit script that was executed.

—	pgprubot (08/08/2015 00:32, исправлен 08/08/2015 00:45) профиль/связь <#> комментариев: 511 документов: 2 редакций: 70

> It was on a international news website operating from Russia.

Название сайта-то известно? Что это было?

> The exploit was simply injected on every news article page through an iframe.

В предыдущей подобной уязвимости iframe тоже участвовал:

Security researcher Cody Crews discovered a method to append an iframe into an embedded PDF object rendered with the chrome privileged PDF.js. This can used to bypass security restrictions to load local or chrome privileged files and objects within the embedded PDF object. This can lead to information disclosure of local system files.

Может быть, не зря говорят, что iframe тоже желательно отключать, как и JS?

> saw all kinds of other files being accessed, including my private and public keys.

А всё потому, что не надо запускать браузер из-под того юзера, который по SSH ходит.

>> Текущего TBB это касается?

> Да, судя по исправлению, код в ESR из Torbrowser уязвим.

Тогда странно, что они до сих пор не чешутся с обновлением.

—	Гость_ (08/08/2015 08:11) профиль/связь <#> комментариев: 450 документов: 10 редакций: 13

> Тогда странно, что они до сих пор не чешутся с обновлением.

Внеплановый второй выпуск ESR-38 означает EOL для ESR-31 из стабильной ветки Torbrowser. Альфа версия Torbrowser c ESR-38 ещё требует доработок, ~~а тут уикенд, лето, солнце.~~
Или может в комплекте Torbrowser есть что-то, что остановило уязвимость и разработчики знают больше?

—	Гость_ (08/08/2015 08:55) профиль/связь <#> комментариев: 450 документов: 10 редакций: 13

> Да, судя по исправлению, код в ESR из Torbrowser уязвим.

> Тогда странно, что они до сих пор не чешутся с обновлением.

> разработчики знают больше?

Видимо так

The exploit we were addressing did not work in 31. So, no, we didn't patch 31.8.0 ESR.

Уязвимость состояла из двух частей, потенциального нарушения same-origin-policy в коде, и механизма использовать эту ошибку через pdf.js. В ESR-31 чего-то не хватило для эксплуатации уязвимости.

—	Гость_ (08/08/2015 09:00) профиль/связь <#> комментариев: 450 документов: 10 редакций: 13

Следим за ответом разработчиков.

—	pgprubot (08/08/2015 09:24, исправлен 08/08/2015 09:25) профиль/связь <#> комментариев: 511 документов: 2 редакций: 70

Меня удивило, что эксплоит, я так понимаю, кроссплатформенный (работает на JS?), что не часто бывает. Если б он работал в TBB, интересно, как бы это это выглядело на Linux при том, что Torbrowser всегда представляется виндой.

—	Гость_ (08/08/2015 10:00, исправлен 08/08/2015 10:02) профиль/связь <#> комментариев: 450 документов: 10 редакций: 13

Возможно код этого эксплоита. Можно потестировать на TBB-5 альфа:)

—	Гость_ (08/08/2015 17:45, исправлен 08/08/2015 17:46) профиль/связь <#> комментариев: 450 документов: 10 редакций: 13

На forum.nag.ru эксплуатировали это же, но нагрузка была чуть другой и файлы искали поинтересней.
interessed_text_files=["*.ppk","*.pem","*parol*.txt","*парол*.txt","*доступ*.txt","*сервер*.txt","*акк*.txt","*эккаунт*.txt","*впн*.txt","*впс*.txt","*вдс*.txt","*логин*.txt","*туду*.txt","*инфо*.txt","*данны*.txt","*реги*.txt","*сокс*.txt","*шел*.txt","*рут*.txt","*кош*.txt","*кош*.txt","*шоп*.txt","*банк*.txt","*сбер*.txt","*счет*.txt","*смс*.txt","*картон*.txt","*карты*.txt","*деньг*.txt","*ключ*.txt","*фтп*.txt","*ссх*.txt","*серт*.txt","*серт*.txt","*тест*.txt","*секрет*.txt","*приват*.txt","*взлом*.txt","*хак*.txt","*эксплоит*.txt","*задачи*.txt","*баги*.txt","*почта*.txt","*уязвим*.txt","*вебман*.txt","*баланс*.txt","*важн*.txt","*кредит*.txt","*бтц*.txt","*коин*.txt","*vuln*.txt","*hack*.txt","*money*.txt","*webmon*.txt","*pentest*.txt","*wallet*.txt","data.txt","*root*.txt","r00t.txt","*pass.txt","*passw*.txt","toor.txt","login*.txt","l0gin*.txt","acc.txt","*accs*.txt","*account*.txt","access.txt","acces.txt","*mail*.txt","*database*.txt","*todo*.txt","info.txt","centos.txt","ubuntu.txt","linux.txt","*serv*.txt","*srv*.txt","user.txt","userid.txt","cc.txt","card.txt","cards.txt","all.txt","full.txt","key.txt","*ftp*.txt","ftps.txt","*host*.txt","h0sting*.txt","host.txt","h0st.txt","sys.txt","sysadmin.txt","*admin*.txt","adm.txt","user.txt","users.txt","*domain*.txt","logindata.txt","*vpn*.txt","*vps*.txt","*vds*.txt","virtual.txt","ded.txt","*dedic*.txt","*dedik*.txt","s3.txt","*amazon*.txt","qwerty.txt","*icq*.txt","*skype*.txt","mail.txt","mails.txt","usb.txt","hdd.txt","user.txt","*billing*.txt","bill.txt","id.txt","*sql*.txt","*pma*.txt","*merchant*.txt","*balance*.txt","*myadmin*.txt","contacts.txt","connect.txt","*ssh*.txt","*rdp*.txt","*btc*.txt","*brute*.txt"
Рунет в огне и интерессе.

—	Гость_ (08/08/2015 19:04) профиль/связь <#> комментариев: 450 документов: 10 редакций: 13

Ещё один раздающий.

Походу битрикс поломали.

Наг.ру тоже на битриксе, совпадение?

По состоянию на I полугодие 2013 года «1C-Битрикс: Управление сайтом» занимает первое место в рейтинге платных тиражных CMS[6] России по версии iTrack. В общем рейтинге CMS, составленном этой компанией, «Битрикс» занимает четвёртое место.

—	Гость_ (09/08/2015 14:21) профиль/связь <#> комментариев: 450 документов: 10 редакций: 13

Продолжаем про pdf экплоит, если кому интересно, или всё уже ясно? Главный свидетель приводит подробности:

Update: I played around with the exploit some more to find out what exactly triggered the file dialog. Turns out my OS (Ubuntu 15.04) actually saved me.

When you try to open a file with Firefox it will first try to map the file to a mimetype using the ExternalHelperAppService (https://developer.mozilla.org/....._Mozilla_determi...). In case a mimetype is found, a file dialog is shown so you can open the file with the right application, in case it is not, the contents of the file will be displayed in the browser. In this case my OS provided the ExternalHelperAppService with a mimetype for one of my public keys with the .pub file extension: application/vnd.ms-publisher. Of course that's not the correct mimetype for the public key file, but that's basically what saved me by showing a file dialog because it found a mimetype. All other files had no file extension so no mimetype was found.

I also discovered that my private keys were all encrypted with a passphrase so even though they have been compromised it was not as bad as I initially believed.

—	pgprubot (09/08/2015 15:45) профиль/связь <#> комментариев: 511 документов: 2 редакций: 70

> если кому интересно

Интересно, держите в курсе. Было бы лучше, если б все коменты на тему были отделены в иную ветку.

На будущее: если предчувствуете, что тема повлечёт за собой длительное обсуждение, а подходящего топика нет, лучше начать новый. Сюда в юмор лучше складывать то, что никак не классифицируется по иным уже существующим топикам/тредам.

На страницу: 1, 2 След.

Ваша оценка документа [показать результаты]