Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Używasz Internet Explorera? Możesz mieć XSS-a w każdej domenie

06 lutego 2015, 15:03 | W biegu | 1 komentarz
Tagi: ,

Kilka dni temu na liście dyskusyjnej full disclosure został opublikowany błąd pozwalający na wykonanie XSS-a w kontekście dowolnej domeny w najnowszych wersjach Internet Explorera. Odkrywca błędu, David Leo, zgłosił ten błąd do Microsoftu 13 października 2014, jednak błąd nie jest wciąż poprawiony.

Oryginalny PoC (proof of concept) nie był zbyt czytelny, dlatego inny badacz, @filedescriptor, przedstawił na swojej stronie analizę podatności oraz uprzystępnił PoC.

Istotą podatności jest sposób wykonywania Javascriptu przez Internet Explorera. Na stronie umieszczane są dwa elementy iframe: jeden w domenie atakującego, a drugi w domenie atakowanej (np. www.google.com). Tuż po uruchomieniu strony zaczyna się wykonywanie skryptu w kontekście pierwszego iframe’u. W międzyczasie jednak, w tym samym iframie wykonywane jest przekierowanie do domeny atakowanej. Przekierowanie nie przerywa wykonywania skryptu (które jest celowo tymczasowo zatrzymywane), dzięki czemu skrypt zaczyna nagle wykonywać się w kontekście innej domeny (www.google.com). Omija to praktycznie wszystkie zabezpieczenia przed złośliwym wykonywaniem skryptów; jedyną obroną może być nagłówek X-Frame-Options (ale bardzo często obrazki czy plik robots.txt są wyświetlane bez tego nagłówka).

Chyba najlepszym sposobem ochrony przed podatnością jest… po prostu nieużywanie Internet Explorera do czasu aż Microsoft naprawi problem.

–Michał Bentkowski

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. marcin

    to jest skandal zeby przez kilka miesiecy nie byli w stanie TAKIEGO bledu naprawic

    Odpowiedz

Odpowiedz