image

Nieuw Internet Explorer lek ook in Firefox aanwezig

woensdag 28 juni 2006, 11:45 door Redactie, 17 reacties

Er zijn gisteren twee nieuwe lekken in Internet Explorer gevonden, waarvan er ook één in Firefox aanwezig is. Het eerste lek dat security onderzoeker Plebo Aesdi Nael vond betreft een fout in het verwerken van gedeelde bestanden. Een aanvaller kan dit misbruiken om een gebruiker een kwaadaardige HTA applicatie te laten uitvoeren. De gebruiker moet dan wel verleid worden om op een bestand te dubbelklikken.

Ondanks de gebruikersinteractie die vereist is, verwacht het Internet Storm Center dat dit lek straks wel misbruikt zal worden. Als oplossing wordt aangeraden om het Windows file sharing verkeer te filteren.

Het tweede lek betreft het verwerken van de object.documentElement.outerHTML eigenschap. Via deze kwetsbaarheid kan een aanvaller achterhalen wat het slachtoffer op dat moment in zijn browser aan het bekijken is.

Dit lek is erg vervelend als de gebruiker is ingelogd op bijvoorbeeld z'n webmail. Het lek zou ook aanwezig zijn Firefox, zo heeft het ISC ontdekt, maar de voglende test url blijkt niet op Firefox browsers te werken. Voor mensen die hun browser willen testen is op deze pagina een test te vinden. Als oplossing wordt aangeraden om Active Scripting uit te schakelen.

Microsoft zou inmiddels beide lekken in onderzoek hebben.

Reacties (17)
28-06-2006, 11:59 door Anoniem
Ook hier geldt weer dat firefox + NoScript addin niet
vulnerable is; Het lijkt onderhand wel alsof NoScript alle
gaten dicht die in Ff blijken te zitten. Misschien tijd om
NoScript standaard in Ff in te bouwen...
28-06-2006, 12:23 door rberkers
"Your browser does not appear to vulnerable to this
particulair exploit".

(Firefox 1.5.0.4, standaard geinstalleerd).

Rob.
28-06-2006, 12:31 door Anoniem
"Your browser does not appear to vulnerable to this
particulair exploit".

Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.8.0.4)
Gecko/20060614 Fedora/1.5.0.4-1.2.fc5 Firefox/1.5.0.4 pango-text
28-06-2006, 12:50 door Anoniem
Voor de duizendste keer: NoScript-plugin voor FireFox.
Standaard Java(script) blokkeren, scheelt een hoop.
28-06-2006, 14:25 door Anoniem
"Your browser does not appear to vulnerable to this
particulair exploit".

IE7+ in Windows Vista Beta 2
28-06-2006, 15:11 door Anoniem
Your browser does not appear to vulnerable to this
particular exploit.

Mozilla/5.0 (Windows; U; Windows NT 5.1; nl; rv:1.8.0.4)
Gecko/20060508 Firefox/1.5.0.4


Your browser is vulnerable! The test retrieved content from
http://www.google.com in the context of your browser.

IE6


Dus ze hebben 2 varianten gevonden: 1 werkt alleen op IE en
de ander op zowel IE als FF.
28-06-2006, 15:35 door Anoniem
Ook met Fedora Core 5 (2.6.16-1.2122_FC5) en FireFox 1.5.0.4
dit resultaat: "Your browser does not appear to vulnerable
to this particular exploit".
Eerst even met NoScript-plugin tijdelijk Secunia.com
toegestaan, anders werkt de hele test niet. :)
28-06-2006, 15:36 door Anoniem
Door Anoniem
Voor de duizendste keer: NoScript-plugin voor FireFox.
Standaard Java(script) blokkeren, scheelt een hoop.

Eens.

Maarrrr, met of zonder NoScript is FF 1504 niet kwetsbaar.
IE wel.
28-06-2006, 15:50 door G-Force
De test uitgevoerd op IE-7 Beta 2 (alle schuifwaarden op High, behalve
de vertrouwde zone) op Windows XP SP2 (home-edition) leverde geen
werkende exploit op. Evenzo met de nieuwste Firefox en NoScript
geïnstalleerd leverde geen werkende exploit op.
28-06-2006, 16:12 door Anoniem

Maarrrr, met of zonder NoScript is FF 1504 niet kwetsbaar.
IE wel.

IE7 is NIET kwetsbaar.
28-06-2006, 17:15 door Anoniem
Your browser does not appear to vulnerable to this
particular exploit;

Mozilla 1.7.12
Mozilla/5.0 (Windows; U; Windows NT 5.0; en-US; rv:1.7.12)
Gecko/20050915
28-06-2006, 18:59 door Bitwiper
Redactie schreef op op woensdag 28 juni 2006 11:45:
> Het lek zou ook aanwezig zijn Firefox, zo heeft het
> ISC ontdekt, maar de voglende test url blijkt
> niet op Firefox browsers te werken
.
waarna de Secunia URL volgt.

De Secunia test ziet er anders uit dan wat Plebo Aesdi Nael
schreef in in de bijlage van
http://lists.grok.org.uk/pipermail/full-disclosure/2006-June/047398.html
en gebruikt daarnaast JavaScript als wrapper om de
feitelijke code, dus dat NoScript daardoor de Secunia
"exploit" (die sowieso niet werkt in Firefox) tegenhoudt
geloof ik best.

Een heel snel en aangepast testje met Plebo's code in
Firefox (1.0.8) toont een Google page in een deel van het
scherm. De consequenties hiervan kan ik zo snel niet
overzien (ik weet te weinig van XSS, als dat het probleem al
is).

ISC lijkt te suggereren dat hiermee in Firefox toegang tot
gegevens uit de context van de andere website kan worden
verkregen. Of dat zo is, en of NoScript dan alle mogelijke
issues tegenhoudt, weet ik niet.
29-06-2006, 00:00 door PeCe
En idem als de test van diverse andere gebruikers blijkt ook
Seamonkey, de afgeleide van Mozilla (net als Firefox)
standaard niet vulnerable te zijn.
De test deed ik met; Mozilla/5.0 (Windows; U; Windows NT
5.1; en-US; rv:1.9a1) Gecko/20060603 SeaMonkey/1.5a
zonder speciale extentions of speciale security instellingen.

Dezelfde test met Maxthon 1.5.2 (met IE engine) gaf wel een
vulnerable melding.
29-06-2006, 03:45 door Bitwiper
PeCe op donderdag 29 juni 2006 00:00:
> De test deed ik met; Mozilla/5.0
[knip]

WELKE test? Zowel de caption als de URL van de huidige
Secunia testpage bevatten de woorden "Internet
Explorer
Information Disclosure Vulnerability Test" en
eerder was al aangegeven dat deze test niet werkt op
non-MSIE browsers.

http://isc.sans.org/diary.php?storyid=1448
vermeldt sinds kort de volgende aanvulling:
06/28/06
We have been getting comments about the statement of Firefox
being vulnerable. After repeated testing, one of the
handlers has confirmed that it is definitely vulnerable. The
code found at Secunia will not catch vulnerable versions of
Firefox but the original PoC found on FullDisclosure will
work on Firefox.
Slechts 1 handler en verder geen
details is erg mager.

> Dezelfde test met Maxthon 1.5.2 (met IE engine)
> gaf wel een vulnerable melding.
Dat is wel zinvolle informatie.

Wellicht ook interessant is dat op mijn Win98SE PC MSIE
6+SP1 met patches t/m mei j.l. als not vulnerable uit
de Secunia test komt. Daardoor, en doordat de Secunia code
zo te zien niet verder gaat dan een frame van een andere
site te laten zien - zonder XSS of iets dergelijks aan te
tonen, heb ik niet veel vertrouwen in deze Secunia test.

N.B. om even aan te geven hoe tricky "cross-site-scripting"
is: zo te zien wordt op elke Secunia page "legaal" (d.w.z.
ogenschijnlijk zonder gebruik van exploits, wat niet wil
zeggen dat dit door iedereen gewenst is) de file
http://www.google-analytics.com/urchin.js geladen, welke zoveel
mogelijk over je te weten probeert te komen (o.a. Flash
versie, document title etc) waarna deze info -als ik me niet
vergis- achter een .gif URL geplakt naar die site wordt
teruggestuurd.
29-06-2006, 09:31 door Anoniem
NoScript is geen oplossing zoals hier word gesuggereerd. Het
zou een workaround zijn in geval van een ongepatchte bug. Ik
persoonlijk wil gewoon dat alles werkt. Ook de java scripts
en dergelijke.
29-06-2006, 12:36 door Anoniem

Door Anoniem op donderdag 29 juni 2006 09:31
NoScript is geen oplossing zoals hier word gesuggereerd. Het
zou een workaround zijn in geval van een ongepatchte bug. Ik
persoonlijk wil gewoon dat alles werkt. Ook de java scripts
en dergelijke.
Strikt genomen is NoScript inderdaad geen oplossing. Veiligheidsgordels
zijn dat ook niet. Maar met beide kan je veel ellende voorkomen.
Het handige van de NoScript-plugin is dat je kan zien welke domeinen
javascript willen uitvoeren op de web-pagine die je bekijkt. En vaak zitten
daar allerlei domeinen tussen die je niet wilt. Je kan dus vrij nauwkeurig
alleen dat domein toestaan dat je wel vertrouwt.
Wat mij betreft is NoScript een onmisbare uitbreiding en zou die er ook
voor Internet en Opera moeten zijn.
30-06-2006, 08:38 door Anoniem
Door Anoniem
Het handige van de NoScript-plugin is dat je kan zien welke
domeinen
javascript willen uitvoeren op de web-pagine die je bekijkt.
En vaak zitten
daar allerlei domeinen tussen die je niet wilt. Je kan dus
vrij nauwkeurig
alleen dat domein toestaan dat je wel vertrouwt.
Ik zie mijzelf dit al uitleggen aan mijn moeder... Ik moet
zeggen dat ik dit niet gebruik, omdat het me eigenlijk niet
interesseert. Ik doe wel een format c: eens in t half jaar.
Stukken minder werk dan elke dag weer al die meuk
verwijderen die erop is gekomen, of controleren van welk
domein een scriptje word uitgevoerd...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.