Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Zdalne wykonanie kodu na Thunderbird, Firefox, OpenOffice i całej masie innego oprogramowania…
Znaleziono interesujące podatności w popularnej bibliotece służącej do obsługi fontów: libgraphite. Jej nazwa niewiele może mówi, ale biblioteka jest domyślnie używana w takim oprogramowaniu jak: Firefox, Thunderbird, OpenOffice czy LibreOffice.
Najistotniejsza podatność to przepełnienie bufora, umożliwiające wykonanie kodu na maszynie ofiary:
The most severe vulnerability results from an out-of-bounds read which the attacker can use to achieve arbitrary code execution. (…) to exploit these vulnerabilities, an attacker simply needs the user to run a Graphite-enabled application that renders a page using a specially crafted font that triggers one of these vulnerabilities.
Czyli aby zostać przejętym wystarczy wyświetlić stronę webową, która osadza odpowiednio złośliwie spreparowane fonty.
Co ciekawe, podobny problem znany jest od dawna w natywnej obsłudze fontów systemach Windows (przy czym tu jest jeszcze gorzej, bo system obsługi fontów realizowany jest z uprawnieniami jądra – zatem atak jest po prostu dewastujący. Choć w Windows 10 zaczęto to zmieniać).
–Michał Sajdak
Jak żyć w takim razie? Sanboxować Thunderbirda, Firefoxa i OpenOffice (szlak że 3 z 4 wymienionych przez was programów używam… ) czy da się to jakoś magicznie naprawić ? (Uprawnienia grup, mam restrykcyjne jeśli chodzi o uruchamianie wszelkich exe i podobnych w folderach tymczasowych i innych wrażliwych )
Firefox jest podatny w wersjach 31-42, biblioteka libgraphite 2-1.2.4. Firefoksa masz pewnie nowszego, a biblioteka zrób upgrade. W Debianie nawet stabilnym jest już 2-1.3.5, pewnie w innych też już jest nowsza.
ublock-origin pozwala na blokowanie zdalnych czcionek https://github.com/gorhill/uBlock/wiki/Per-site-switches#no-remote-fonts ciekawe czy to w pełni rozwiązuje ten błąd