Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Krytyczna podatność w Firefoksie pozwala witrynom na wykradanie lokalnych plików

07 sierpnia 2015, 13:49 | Aktualności | komentarzy 7

Jeśli używacie Firefoksa, to upewnijcie się, że macie zainstalowaną najnowszą wersję. W sieci jest obecnie wykorzystywana podatność pozwalająca serwisom internetowym na wykradanie plików z lokalnych dysków internautów.

Zgodnie z Mozilla Foundation Security Advisory 2015-78 podatność we wbudowanej przeglądarce plików PDF pozwala intruzom na przeglądanie i wykradanie lokalnych plików z systemu odwiedzającego złośliwą witrynę internetową.

W skrócie, błąd zabezpieczeń pozwala na przełamanie zasad Same Origin Policy i wstrzyknięcie (poprzez odpowiednio spreparowany plik PDF) skryptu do wbudowanego w Firefoksa modułu odpowiedzialnego za przeglądanie plików PDF. Atak nie pozwala natomiast intruzowi na wykonanie dowolnego kodu na podatnym systemie.

Warto również podkreślić, że exploit ma dostęp tylko do tych plików, które są osiągalne w kontekście uprawnień użytkownika przeglądarki, bowiem nie ma tutaj mowy o żadnej eskalacji uprawnień.

Exploity są już aktywnie wykorzystywane w atakach internetowych. Przykładowo jeden z rosyjskich portali informacyjnych serwował exploit przesyłający skradzione pliki na ukraiński serwer. Co ważne, na celowniku są użytkownicy zarówno Windowsów, jak i Linuksów. Poniżej znajduje się lista poszukiwanych przez złośliwe oprogramowanie lokalizacji.

On Windows the exploit looked for subversion, s3browser, and Filezilla configurations files, .purple and Psi+ account information, and site configuration files from eight different popular FTP clients.

On Linux the exploit goes after the usual global configuration files like /etc/passwd, and then in all the user directories it can access it looks for .bash_history, .mysql_history, .pgsql_history, .ssh configuration files and keys, configuration files for remina, Filezilla, and Psi+, text files with “pass” and “access” in the names, and any shell scripts.

Na celowniku są więc przede wszystkim pliki zawierające hasła, klucze, historie komend oraz rozmaite skrypty i pliki konfiguracyjne. Wygląda więc na to, że wspólnym mianownikiem są właśnie wszelkie dane dostępowe…

Powyższa metoda ataku nie pozostawia na docelowym systemie żadnych śladów. Jeśli więc istnieje szansa, że padliście jego ofiarą, zmieńcie wszystkie potencjalnie wykradzione dane uwierzytelniające.

W celu ochrony przed atakiem, należy się upewnić, że przeglądarka została zaktualizowana do następującej wersji:

  • Firefox 39.0.3
  • Firefox ESR 38.1.1

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Kamil

    albo
    about:config
    pdfjs.disabled true
    dla tych co jeszcze w repozytoriach nie mają najnowszego firefoxa

    Odpowiedz
  2. zero one

    Zasmuca fakt że przeglądarki są coraz gorsze. Opera po wersji 12.17 to tragedia i obraza dla userów. Lis poleciał na łeb, skundlił się we współpracy z prywaciarzami i łobuzami od reklam. Później pojawiają się zagrożenia a przeciętny użytkownik nie może zrobić nic tylko zaktualizować przeglądarkę do „wyższej wersji” żeby być bezpiecznym. Bardzo często rezygnując z gorszych czy wręcz szpiegowskich rozwiązań zaimplementowanych w aktualizacji. To smutne dokąd to wszystko zmierza. Niebawem to przeglądarki będą wyglądać tak że będzie można je uruchomić i wybrać jeden z 12 obrazków które z góry dla dobra użytkownika zostaną wybrany. Bez opcji prywatności, bez możliwości wyłączenia ciastek. Zresztą patrząc na kolejne pokolenia o naturze „obrazkowców” pewnie nikt nie będzie się zastanawiał nad ustawieniami. No dobra. Wylałem żale. Wybaczcie to moje smucenie.

    Odpowiedz
    • rob006

      Zapomniałeś wspomnieć że piwo kiedyś lepiej smakowało, a trawa była bardziej zielona. ;]

      Odpowiedz
      • Niestety mam podobne doświadczenie, a artykuły takie jak ten utwierdzają mnie w przekonaniu, że jednak będzie trzeba zamienić firefoxa na coś innego. Po najnowszej aktualizacji wyjątkowo często wykrzaczają mi się wtyczki a sama przeglądarka łapie zwiechy co pół godziny, „bez powodu”.

        Odpowiedz
      • Stach

        Wiesz co? No! Żałośne to było z tym piwem i trawą…

        Odpowiedz
  3. Pasta do zębów

    …pozostają przeglądarki tekstowe o_o. Albo inwencja własna ;-)

    Odpowiedz
  4. czesław

    Pod linuxem mozna zabezpieczyc sie na orzyszlosc za pomoca apparmor.
    Dodatkowo noscript na kazdej platformie nie zaszkodzi.

    Odpowiedz

Odpowiedz