Firefox помогает фишерам обойти проверку вредоносного контента на популярных сайтах

image

Теги: Firefox, Mozilla, US-CERT, MySpace, Петков

Используя функцию Firefox, позволяющую запрашивать отдельные файлы из ZIP-архивов, злоумышленники могут обойти проверку вредоносного контента на популярных сайтах, утверждает ИБ-специалист Петко Петков.

Используя функцию Firefox, позволяющую запрашивать отдельные файлы из ZIP-архивов, злоумышленники могут обойти проверку вредоносного контента на популярных сайтах, утверждает ИБ-специалист Петко Петков (Petko Petkov).

По утверждению г-на Петкова, уязвимость существует уже почти год, она описана в базе данных уязвимостей Mozilla, проекте Bugzilla. После публикации в блоге ею заинтересовался US-CERT и выпустил собственное уведомление, сообщает Heise-Security.co.uk.

Атака межсайтового скриптинга – выполнения JavaScript-кода с одного сайта в контексте другого – в данном случае не является недостатком Firefox и может быть вызвана отсутствием проверки zip-файлов, допустимых к загрузке на популярных ресурсах, например, MySpace.

Протокол jar позволяет обратиться к файлу в одноименном Java-архиве, который, по сути, является обычным zip-файлом. Злоумышленник может загрузить zip-архив, содержащий вредоносный файл, например, на MySpace, и создать ссылку на этот файл, например, jar:http://site.com/archive.jar!/evil.htm. При переходе по ссылке файл evil.htm выполнится в контексте MySpace. Проблема заключается в том, что крупные сайты социальных сетей, как правило, не проверяют содержимое архивов, загруженных пользователем.


или введите имя

CAPTCHA
Страницы: 1  2  
13-11-2007 16:27:23
Что-то я не понял - Файрфокс обвиняют в том, что он работает так, как должен?
0 |
1
13-11-2007 16:40:24
Чот по мойму это нифига не проблема FF.
0 |
1
13-11-2007 16:44:19
Не понял.Фичи теперь объявляются багами чтоли?Фича прикольная - можно место на сервере сэкономить.Почему-то утверждается что это дескать, bug.Секурити, конечно, хорошо, но у любой паранойи должны быть границы.Если зипари не проверяются при аплоаде, любое чмо может туда засунуть банальный вирь, что как-то намного более противно в плане безопасности, ыгы?И кстати универсально в плане браузеров.А если зипушник еще и запаролить но написать пароль на "суперкряк" или "мегаигру" рядом - его никакой антивирь не спалит заодно.А вот юзер зато сможет подхватить за счет этого нехитрого фишинга себе троянца чего доброго.Вот это да, фишинг.А то что описано - паранойя мелкая.
0 |
1
13-11-2007 16:45:01
jar:http://site.com/archive.jar!/evil.htm. При переходе по ссылке файл evil.htm выполнится в контексте MySpace.И чего сдесь неправильно?! И чем это отличается от http://site.com/archive/evil.htm ???
0 |
1
13-11-2007 18:47:38
Ну вообще потенциально я тут что вижу,если некая файлопомойка фильтрует пшп,хтмл и тп, но при этом не фильтрует jar (что само по себе странно) , причем файлы валятся в исполняемые директории то принципиааааально можно запихать некий шел и заставить его выполняться в контексте сервера.Полный бред, это в принципе дыра не фокса а скорее жавы, вернее даже нет, это дыра в мозгах того кто такой сервер поднимет. Собственно последний раз такой прикол (с инклюдом правдо) я видел в году этак 2000.
0 |
13-11-2007 23:51:14
Исполняемый файл, типа пхпшного из зипа на серве не выполнишь, но если есть уязвимость в браузере, то достаточно и хтмл, плюс так как новость про фишинг - то в этом хтмл просто какая нить мессага типа введите пароль от вашего аккаунта на майспейс (но оформленная по дизайну так, что пользователь будет думать, что пароль просит ввести майспэйс, а не фишеры). От http://site.com/archive/evil.htm это отличается тем, что site.com будет быстро добавлен в фишерские и браузер не даст запустить такую ссылку, плюс если мы имитируем майспейс - то надпись site.com/bla-bla-bla не вызовет доверия.
0 |
1
14-11-2007 16:10:13
Очень даже полезная новость... Отличие от site.com заключается в том, что когда javascript выполняет код на site.com, он и соответствующим образом получает доступ к кукам. То есть, с твоей сессией уже можно творить что угодно... Тут либо надо запрещать файрфоксу показывать файлы из архива (что впринципе, не есть очень правильно), либо вносить изменение в реализацию протокола jar таким образом, чтобы все теги экранировались. Но имхо проще всего - просто стирать ссылки, начинающиеся на "jar:"
0 |
1
13-11-2007 17:41:03
У секлаба новости однако в духе комментов ЛОРа.лишь бы запостить))
0 |
Страницы: 1  2