Firefox 2.0.0.12 podatny na atak?

Jak donosi bloger Ronald van den Heetkamp, dopiero co wydany Firefox 2.0.0.12 jest podatny na atak. Obwinia też twórców za zbyt lekkie podchodzenie do kwestii bezpieczeństwa.

Błąd polega na tym, że korzystając ze schematów 'view-source:’ i 'resource:’ możliwe jest odczytanie dowolnego pliku znajdującego się w katalogu głównym Firefoksa. To natomiast umożliwia odcztanie dowolnych jego ustawień, w tym konfiguracji sieci, ciasteczek, historii przeglądanych stron, etc.
Aktualizacja: jak podaje shaver.off.net nie jest jednak na szczęście możliwe uzyskanie dostępu do prywatnych danych.

Do czasu wydania poprawki polecana jest instalacja wtyczki NoScript. Zaaplikowanie następującego kodu pozwoli sprawdzić, czy nadal jesteśmy podatni na atak:

<script>
/*
 @name: Firefox <= 2.0.0.12 information leak pOc
 @date: Feb. 07 2008
 @author: Ronald van den Heetkamp
 @url: http://www.0x000000.com
*/
pref = function(a,b) {
   document.write( a + ' -> ' + b + '<br />');
};
</script>
<script src="view-source:resource:///greprefs/all.js"></script>

żadnych reklam, sama wiedza.

Zarejestruj się na BEZPŁATNY NEWSLETTER i raz w tygodniu otrzymuj najważniejsze wiadmości
ze świata IT, nowych technologii i kryptowalut.

Bez reklam.

30 odpowiedzi na „Firefox 2.0.0.12 podatny na atak?”
  1. Awatar Rodzyn
    Rodzyn

    Źle się dzieje ostatnio z firefoxem w kwesti bezpieczeństwa :/

    1. Awatar artek
      artek

      Może zwyczajnie Firefox stał się bardziej popularny ??
      Niestety linuksowi też to grozi.
      Wzrost popularności = wzrost zainteresowania ZU (którzy mają średnie podejście do bezpieczeństwa) = większe zainteresowanie ludzi z ciemnej strony mocy tymi systemami/programami

      Będzie tego coraz więcej niestety 🙁

      Pozdrawiam

      1. Awatar olek
        olek

        Tak, tylko ze łata pojawia sie prawie natychmiast (porównując np. IE lub Windows O.S.)

        1. Awatar Mieszko Kaczmarczyk
          Mieszko Kaczmarczyk

          Jak dla mnie to łata powinna byc od razu wkompilowana i udostępniowa poprawiona wersja – czyli powinno być wydane np 2.0.0.12.1

        2. Awatar michallo
          michallo

          Wydaje mi się, że nazewnictwo wydań firefoxa np 2.0.0.12 to wersja 2 z łatkami bezpieczeństwa. Czyli powstanie pewnie 2.0.0.13 🙂

    2. Awatar doogroo
      doogroo

      Do czasu wydania poprawki polecana jest instalacja wtyczki NoScript i zaaplikowanie następującego kodu:

      A czy autor newsa to zrobił? Może opisze jak? Bo mnie ten kawałek kodu wyglada na wykorzystanie dziury, a nie na zabezpieczenie przed jej użyciem.

      Zabezpieczeniem jest nieuruchamianie skryptów. I już.

      1. Awatar michuk
        michuk

        Ten kod służy do sprawdzenia czy jestesmy podatni na atak. Sprecyzowałem to w niusie.

  2. Awatar Hadret
    Hadret

    *Firefoksem – raz, że nazwa własna, dwa "x" się odmienia.

    NoScript to podstawa, nie wyobrażam sobie w tej chwili korzystać z Foksa bez niego (:

  3. Awatar White Eagle
    White Eagle

    Polecam komentarze ludzi związanych z mozillą:
    http://shaver.off.net/diary/2008/02/10/view-sourc… http://robert.accettura.com/archives/2008/02/10/f…

    Wydaje się, że ten news jest dość mocno naciągany.

  4. Awatar SeeM
    SeeM

    Wykonanie kodu to nie jest, trudno też żeby w katalogu głównym były informacje o strukturze lokalnej sieci, czy nawet proxy, bo to siedzi w katalogach użytkowników, najwyżej "globalne" wtyczki można podejrzeć.

    A jeśli chodzi o kwestie bezpieczeństwa, to chyba do czasu wydania trzeciej wersji może być nielekko, bo ludzie mają więcej rzeczy na głowie.

  5. Awatar r.k.
    r.k.

    Ale resource:/// wskazuje na folder programu Firefox, a nie folder profilu, więc w jaki sposób można odczytać ciasteczka, historię i wszelakie ustawienia profilu?

  6. Awatar marcoos
    marcoos

    Nie ma żadnej dziury.

    http://shaver.off.net/diary/2008/02/10/view-sourc…

  7. Awatar CeCeron
    CeCeron

    Właściwie nie powinno być żadnej możliwości podglądu plików na twardym dysku, ale po co siać panikę? Przecież w katalogu Firefoksa nie ma praktycznie nic do ukrycia…

  8. Awatar wit3k
    wit3k

    Jak zwykle w takich wypadkach. Łatka pojawi się szybciej niż zostanie wykożystana na porno sajtach przez webmasterów do niecnych celów.

    Na tych samych stronach od lat działają programiki o istnieniu których nikt po za ludźmi któryrzy na nich zarabiają, nie ma pojęcia. Tyczy się również najnowszego IE. Siedzę właśnie na Viście (moje wypociny być może soon na jakilinux) i korci mnie by poszukać jakich craków i azjatek uskuteczniających różne dziwne praktyki.

  9. Awatar autumnlover
    autumnlover

    no i proszę – jak parę dni temu poczyniłem niewinny żart w kwestii bezpieczeństwa Firefoxa to określono to mianem taniej prowokacji.

    1. Awatar natalka
      natalka

      jasnowidz. gratulacje.

  10. Awatar KOmandos
    KOmandos

    No dobra, to do rzeczy:
    z tej wiadomości wynika, że mogę sobie przeczytać ustawienia przeglądarki. Czyli np. zobaczyć co jest doinstalowane do przeglądarki (wtyczki itp.) i jeśli znam jakąś dziurę w konkretnej wtyczce to mogę to wykorzystać.
    No i teraz pytanie: czy poza przeczytaniem ustawień coś jeszcze groźnego może wynikn ąć z czytania plików tego katalogu? Jak ktoś wie coś sensownego, to proszę o podzielenie się wiedzą…

    1. Awatar 3ED
      3ED

      "W katalogu głównym" nie ma takich informacji.. Katalog główny zawiera tylko i wyłącznie wypakowane pliki z instalatora firefoka, ewentualnie jakieś rozszerzenia instalowane globalnie. W firefoksie rozszerzenia globalnie instaluje się wykonując program z odpowiednim parametrem w linij poleceń..

    2. Awatar munk
      munk

      > jeśli znam jakąś dziurę w konkretnej wtyczce to mogę to wykorzystać.

      I właśnie na tym polega siła OpenSource. Błędy zawsze będą znajdowane. Ale w pojedynkę nie będą groźne. Nie pamiętam sytuacji, kiedy w którejś z dystrybucji istniały powiązane ze sobą luki bezpieczeństwa w 2 różnych aplikacjach.

      Windows dziurawy jest na tylu poziomach, że nie dziwi użycie błędu w IE do dostania się przez Windows Media Player do systemu z prawami, do których nawet administrator nie ma praw 🙂

      1. Awatar trasz
        trasz

        @munk: Dziura w Linuksowym kernelu i w Firefoksie? Calkiem czesto, chyba ze pomijasz wszystko, co jest starsze niz trzy miesiace.

        Odnosnie "dziurawosci na tylu poziomach" – FUD, ktorego nie jestes podeprzec faktami. Jestes?

        1. Awatar 3ED
          3ED

          @trasz: Pliki tylko czytać można! ;] Jak się nie rozumie to się nie gada! Pozdrawiam..

  11. Awatar mangoo
    mangoo

    Moglby mi ktos wyjasnic, czemu to, ze moge sobie wyswietlic pliki z wlasnego katalogu domowego nazywane jest luka bezpieczenstwa?

    Innymi slowy, czy umozliwia to przesylanie tych plikow na zdalny serwer?

    1. Awatar KOmandos
      KOmandos

      przesłanie plików da się zrobić bez powiadamiania użytkownika w AJAXie.

  12. Awatar mic
    mic

    Na przyszłość to uważałbym z newsami, których źródło jest mało wiarygodne, bo wprowadzają czytelników w błąd.

  13. Awatar devil
    devil

    http://www.process-one.net/en/blogs/article/after…

    Yahoo też chce jabbera dodajcie do niusów!

  14. Awatar MarW
    MarW

    Wolałbym żeby witryna którą odwiedzam nie sprawdzała mi czy mam np Adplock+. Podobno zdarzają się banowania ludzi co nie chcą oglądać reklam :/

    1. Awatar munk
      munk

      Na Linuxie instalacja i konfiguracja AdBlock ląduje w twoim katalogu domowym, a ten błąd pozwala jedynie na obejrzenie standardowej konfiguracji domyślnych wtyczek Firefoxa.

      Poza tym nie wierzę, aby którykolwiek serwis miał dodać wykrywanie AdBlocka poprzez lukę w przeglądarce, która zostanie załatana za kilka dni. Są prostsze sposoby, ot choćby podstawowe wykrywanie czy z danego IP ściągnięto zarówno stronę jak i reklamę, lub też za pomocą JavaScript sprawdzanie czy element nie został za szybko ukryty.

      1. Awatar Mieszko Kaczmarczyk
        Mieszko Kaczmarczyk

        Czyli rolą blokera nie powinna być reedycja kodu – tylko wpływanie na samo generowanie obrazu – czyli pominięcie reklamy.

        Wszelkie zaś wskażniki powinny wskazywać dla JS, że takowa reklama się wyświetliła.

      2. Awatar Mieszko Kaczmarczyk
        Mieszko Kaczmarczyk

        Czyli rolą blokera nie powinna być reedycja kodu – tylko wpływanie na samo generowanie obrazu – czyli pominięcie reklamy.

        Wszelkie zaś wskażniki powinny wskazywać dla JS, że takowa reklama się wyświetliła -=> layer: visual.

  15. Awatar Linwood Losser
    Linwood Losser

    It is perfect time to make some plans for the future and it’s time to be happy. I’ve read this post and if I could I want to suggest you few interesting things or advice. Maybe you could write next articles referring to this article. I wish to read more things about it!

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *