image

PoC exploit voor lek in Firefox 1.5.0.3

donderdag 11 mei 2006, 16:31 door Redactie, 16 reacties

Er is een Proof of Concept exploit online verschenen die misbruik maakt van het recent ontdekte lek in Firefox 1.5.0.3. Door het lek kan een aanvaller op een kwetsbaar systeem een Denial of Service veroorzaken. In het geval van de PoC exploit wordt automatisch, zonder enige interactie van de gebruiker, de mail applicatie geopend. Aangezien er meerdere clients worden geopend zal het systeem op den duur niet meer reageren.

Een oplossing is het uitschakelen van het automatisch starten van de e-mail applicatie in Firefox. Om dit te doen moet men in de adresbalk "about:config" typen. Dit laat een lange lijst met allerlei config opties zien. Zoek dan de 'warn-external.mailto' optie en zet die op "false". Een andere optie is het gebruik van de fantastische "NoScript" plugin. Hier kan per pagina worden aangegeven of een pagina scripts mag uitvoeren of niet. Als laatste kan ook JavaScript in het geheel worden uitgeschakeld, maar dit zal in veel gevallen niet praktisch zijn. De exploit kan op deze pagina worden getest (waarschuwing, dit kan je systeem laten hangen!). (ISC)

Met dank aan Peter V. voor het melden van dit nieuws

Reacties (16)
11-05-2006, 16:46 door Anoniem
Door Redactie op woensdag 03 mei 2006 07:28
Zoals beloofd heeft de Mozilla Foundation het "iframe.contentWindow.focus
()" Javascript" lek dat vorige week ontdekt werd gepatcht. Via het lek was
het mogelijk voor een aanvaller om een denial of service te veroorzaken en
de browser te laten crashen. In theorie zou het echter ook mogelijk kunnen
zijn om kwaadaardige code op het systeem te draaien, maar hier zijn geen
voorbeelden van. Versie 1.5.0.3 kan via deze pagina of de update functie
binnen de browser gedownload worden.

Goh, in een (1) week ... op naar versie 1.5.0.4 dan maar weer! Als dit zo
doorgaat hoef je maar 51 keer per jaar een nieuwe versie te downloaden!
Jippie! (he, weer geen nieuwe features...)
11-05-2006, 16:46 door G-Force
11-05-2006, 17:30 door Anoniem
Door Anoniem
Goh, in een (1) week ... op naar versie 1.5.0.4 dan maar
weer! Als dit zo
doorgaat hoef je maar 51 keer per jaar een nieuwe versie
te downloaden
!
Jippie! (he, weer geen nieuwe features...)

Zo'n update is maar iets van 700-800 Kb... Dit in
tegenstelling tot de MS updates, die al gauw een paar MB per
stuk zijn. Ook duurt het gemiddeld oneindig maal langer
voordat MS met de patch op de proppen komt.
11-05-2006, 17:40 door Anoniem

Zoek dan de 'warn-external.mailto' optie en zet die op "false".
Kan iemand mij vertellen wat deze setting precies doet ? Aan
de omschrijving te zien waarschuwd het voor een mailto:
link, iets wat mij best nuttig lijkt.
11-05-2006, 18:36 door wimbo
binnen firefox moet je die setting dus op TRUE zetten ipv
false. Daarnaast wordt idd de mail app niet meer geopend.
Firefox blijft daarintegen wel zeuren of misschien mail moet
worden opgestart middels een notification scherm.
Oke, je machine blijft het doen, maar probeer firefox maar
eens af te sluiten...

Voor de rest; best leuk al die schermpjes die op je desktop
openen :)
11-05-2006, 19:03 door G-Force
Ik ben daarom een voorstander van NoScript. Als deze juist
geconfigureerd is beschermt deze plug-in de Firefox
gebruiker voldoende voor deze exploit.

NoScript is hieronder te downloaden:
https://addons.mozilla.org/firefox/722/

Goed configureren doe je als volgt:

1. Na installatie: klik op het icoontje NoScript.
2. klik op opties
3. In het tabblad Algemeen kunnen dan de internetadressen, IP-adressen e.d. worden opgenomen die vertrouwd worden.
4. Vink aan: Allow all sites in bookmarks. Dit zijn de sites die vertrouwd zijn of die jij als vertrouwd hebt aangemerkt.
5. NoScript zal dan voor vetrouwde sites (banksites e.d.) geen scripts blokkeren.
6. Alle sites die je niet in de bookmarks hebt opgenomen worden als niet-vertrouwd gezien. NoScript wordt dan actief en blokkeert Java script.
11-05-2006, 23:23 door Anoniem
Door meinonA
Door Anoniem
Goh, in een (1) week ... op naar versie 1.5.0.4 dan maar
weer! Als dit zo
doorgaat hoef je maar 51 keer per jaar een nieuwe versie
te downloaden
!
Jippie! (he, weer geen nieuwe features...)

Zo'n update is maar iets van 700-800 Kb... Dit in
tegenstelling tot de MS updates, die al gauw een paar MB per
stuk zijn. Ook duurt het gemiddeld oneindig maal langer
voordat MS met de patch op de proppen komt.

MS mag dan laat zijn met patches, bij FF komt zowat elke week een nieuwe
versie uit. Heel erg verwarrend.
12-05-2006, 09:10 door Anoniem
Ligt het nu aan mij, of wordt Firefox EXPRES extra getarget door bug/poc
hunters? Ik kan het me bijna niet voorstellen dat de hoeveelheid bugs die
op dit moment gevonden wordt in Firefox in enige verhouding staat tot de
kwaliteit van de software. Eigenlijk is het niet eens echt erg want:
#1 Microsoft krijgt het NOOIT voor elkaar om een WERKENDE patch, die
niet meer kapot maakt dan de vulnerability ooit zou kunnen doen, in een
week af te krijgen.
#2 Firefox wordt sneller nog veel beter/veiliger
AS
12-05-2006, 09:40 door Anoniem
Door Anoniem
Door meinonA
Door Anoniem
Goh, in een (1) week ... op naar versie 1.5.0.4 dan maar
weer! Als dit zo
doorgaat hoef je maar 51 keer per jaar een nieuwe versie
te downloaden
!
Jippie! (he, weer geen nieuwe features...)

Zo'n update is maar iets van 700-800 Kb... Dit in
tegenstelling tot de MS updates, die al gauw een paar MB per
stuk zijn. Ook duurt het gemiddeld oneindig maal langer
voordat MS met de patch op de proppen komt.

MS mag dan laat zijn met patches, bij FF komt zowat elke week een nieuwe
versie uit. Heel erg verwarrend.

Exactly my point! " ... one thing's fixed, another falls apart! ... " (uit: Trust Your
Mechanic - Dead Kennedys) Kijk eerst eens even verder dan die ene net
ontdekte "bug" (=slordigheid?) voordat je weer een nieuwe versie
uitbrengt ... misschien is het zelfs wel mogelijk om 2 -foutjes- in een keer
te patchen ... misschien?
12-05-2006, 12:40 door jkfjkhfdkjhdfkhjdfkjhfdg
Moet

'warn-external.mailto' optie en zet die op "false"

juist niet op TRUE staan?

Bij mij staat hij standaard op false en ik heb 'last' van de
exploit.
12-05-2006, 13:50 door sjonniev
Ik kan alleen maar het advies van Peter V. onderschrijven:
gebruik NoScript!
12-05-2006, 14:45 door Rubin
Ik heb zonet de PoC getest op twee machines.. Veel raampjes
vliegen open maar daar blijft het bij.. Geen crash. En hoe
moet dit bruikbaar worden voor kwaadwillenden dan?

Je kan er hoogstens iemand mee lastigvallen maar van een
exploit ala willekeurige code uitvoeren is vooralsnog geen
sprake en het lijkt me zeer sterk dat dat ook het geval kan
zijn.

Ik zou dit zelf eerder in de cosmetic bug /
gecko-parse-fout-omdat-imgtags-nou-eenmaal-automatisch-displayen
categorie plaatsen.

Niet echt boeiend imho.
12-05-2006, 15:35 door Anoniem
Er zit een foutje in hoe je het moet uitschakelen dit is de
juiste.

about:config

network.protocol-handler.warn-external.mailto true zetten.
12-05-2006, 20:07 door Anoniem
toch is die waarde op true zetten wel zo handig, ik zag op
bugtraq al iemand zeggen dat ie een versie had die niet van
javascript afhankelijk was.
13-05-2006, 00:49 door Anoniem
Hmmm... dus als ik NoScript even uitschakel en
'network.protocol-handler.warn-external.mailto' op false zet
(v.1.5.0.3!) zou er iets moeten gebeuren bij het openen van
boven genoemde test-pagina? hehhehheh.. NOP Volgens mij ben
ik toch ergens vergeten te "vertellen" welke e-mail client
er dan wel geopend zou moeten gaan worden... -catch my drift?-
15-05-2006, 23:17 door Anoniem
Dit is geen exploit, een slecht geprogde java applet doet
het nog slechter dan dit. Niet echt belangrijk...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.