mboost-dp1

unknown

Gamle fejl spøger stadig i IE og firefox

- Via Securityfocus.com - , redigeret af Net_Srak

Et gammelt sikkerhedshul, viser sig stadigt at være aktiv i browserne Internet Explorer og Firefox. Det drejer sig om den måde browserne håndterer tastetryk fra brugeren, som kan misbruges ved at rediregere inputtet til en skjult applikation.

Første gang denne type fejl blev fundet var i år 2000 i følge Michal Zalewski. Det er ligeledes Michal Zalewski der har fundet fejlen i både Firefox 2.0 og IE 7.

Dog kræves der brugerinteraktion for at det skal virke på både IE 5.0, 5.5, 6.0 og 7.0 og Firefox 1.5 og 2.0 som Michal Zalewski mener, er de berørte browsere.

Ifølge GNUCitizen.org findes fejlen muligvis også i Opera. Dog nævnes der ikke et versionsnummer for Opera.





Gå til bund
Gravatar #1 - Holgerdk
14. feb. 2007 07:38
Hm... det er da trist at fejl som disse får lov at eksistere så længe, men den kan omgås ved at slå Javascript fra og derudover kræver at brugeren gør noget aktivt(trykke på taster).
Gravatar #2 - Space Hopper
14. feb. 2007 08:37
"findes fejlen muligvis også i Opera" - de gad ikke lige teste det eller hvad?
Weak...
Gravatar #3 - jpkarlsen
14. feb. 2007 09:17
Heldigvis er dette ikke nær så alvorligt som man umiddelbart kan tro. For det første skal man lokke en bruger til at indtaste en ganske bestemt sætning i browseren. Desuden skal man vide præcis hvor filen man vil vise i browseren er.
Hvis man vil uploade filen skal brugeren også lige give sin accept af dette og det burde få de fleste til at stå af.
Gravatar #4 - Bundy
14. feb. 2007 09:45
#3: Øh langt ude.. "Der er et sikkerhedshul i alt software der tillader brugere at fucke det hele op hvis de bare skriver de rigtige".
Gravatar #5 - Hubert
14. feb. 2007 11:02
#2

Det er en dårlig formulering fra mig. De mener Opera også er ramt af "hullet" men Michal Zalewski skriver at fejlen ikke findes i Opera.
Gravatar #6 - Windcape
14. feb. 2007 11:19
Det giver ikke mening.

For example, .value
parameter cannot be set or changed, and any changes to .type reset the contents of the field.


Unfortunately, Firefox allows a malicious script to redirect carefully selected, individual user keystrokes to a hidden file upload field, in order to compose a particular filename, then submit the form.


Da værdien bliver reset efter field typen er ændret, og ikke kan sættes, så ville dette jo ikke være muligt.

Derudover virker http://lcamtuf.coredump.cx/focusbug/ffversion.html ikke for mig
Gravatar #7 - hejboel
14. feb. 2007 11:55
FF buggen, virkede heller ikke for mig ( ff 1.508 ) det eneste den skrev i testfeltet var "C"

til gengæld virkede IE versionen glimrende..
Gravatar #8 - hejboel
14. feb. 2007 11:58
#3 tja, hvis du smider den ind i et forum på et velbesøgt site(som den onde onde blackhat hacker naturligvis råder over..), så skal den rigtige kombination nok komme op... desuden er målet ikke at vise den i browseren, den kan uploades til serveren...

det kan fx misbruges til bankcertifikater osv osv... mulighederne er mange :)

og nej, brugeren skal ikke godkende uploaden...
Gravatar #9 - FreakCERS
14. feb. 2007 13:15
JEg har også været ude af stand til at reproducere forløbet i 2.0.0.1 i både windows2k og linux

i windows skrev den kun C, mens den i linux skrev C:
Gravatar #10 - jpkarlsen
14. feb. 2007 13:24
#8 Hvor har du set exempel der uden videre uploadede uden at du skulle sige ok og i hvilken Browser/Version

#6 Den virker heller ikke for mig. IE7 Fuldt opgraderet.
Gravatar #11 - milandt
14. feb. 2007 13:41
Jeg har testet det i IE 6, og serveren var i stand til at udskrive indholdet af min c:boot.ini efter jeg havde indtastet følgende i et textarea:

"I will never find a date. Thanks to computers and books :"

Jeg skulle ikke klikke "ok", der kom aldrig nogen file dialoge prompt op, og jeg kunne ikke se at der fandtes et input element med type="file" på siden.

Dette kunne formentlig udnyttes til at hente en hvilken som helst fil fra brugerens computer, så længe brugeren blot over en række tastetryk indtaster alle tegn der er i filens path.. som f.eks i ovenstående tilfælde og c:boot.ini
Gravatar #12 - hejboel
14. feb. 2007 14:01
#10 IE 6.0.29...

FF virker som sagt ikke /( det er vel godt...)
Gravatar #13 - Laziter
14. feb. 2007 15:10
Jeg prøvede også lige at køre IE7 testen i min IE6.
Sørme om indholdet af min boot.ini ikke også blev udskrevet..

FF testen kunne jeg ikke opnå noget med, den skrev bare 'C' og det var så det..
Gravatar #14 - Windcape
14. feb. 2007 21:35
#8 (og andre)

Nej, du kan netop ikke uploade bankcertifikater, da du ikke kan ændre værdien af et <input type="file"> felt.

Denne her nyhed er noget værre fis, hvor forfatteren mangler modsiger sig selv, og ved klaphat om javascript.

serveren var i stand til at udskrive indholdet af min c:boot.ini


Du kan ikke aflæse indholdet af lokale filer I Mozilla uden et chrome url scope (det som bruges til addons, eller browseren selv, check f.eks. chrome://browser/content)

IE6 har haft fejlen længe, men det er en sikkerhedsbrist i ActiveX som MS rettede i SP2 og IE7.
Gravatar #15 - milandt
14. feb. 2007 23:06
#14 det virkede i IE6 for mig på WinXP SP2
Gravatar #16 - Windcape
15. feb. 2007 11:31
#15

duuuh! ja, selvfølgelig gør det det, men hvad der IKKE virker er den vigtige kode som skal stjæle diner filer uden du ved det.

Derudover er det med filaflæsning i IE stadigvæk JScript og ikke Javascript, og kan mere eller mindre disables ved at slå activex fra :p (eller på nogle niveauer).
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login