Firefox kwetsbaar voor Windows ANI exploit
Ook Firefox is kwetsbaar voor het animated cursor lek in Windows, zo waarschuwt beveiligingsexpert Alexander Sotirov, die het lek vorig jaar december ontdekte en aan Microsoft meldde. Sotirov heeft gedemonstreerd hoe hij via de exploit ook PC's die Firefox gebruiken kan overnemen. "Het blijkt dat Firefox hetzelfde kwetsbare Windows onderdeel gebruikt tijdens het verwerken van .ani bestanden, die dan op een soortgelijke manier als in Internet Explorer misbruikt kunnen worden".
De exploit die de expert al in december ontwikkelde, werkt zowel op Internet Explorer 7 als Firefox 2.0 op Windows Vista. Volgens Symantec is de browser van Mozilla niet kwetsbaar, maar dat klopt volgens Sotirov niet. "De reden voor de verwarring over Firefox is dat een werkende exploit nog niet publiekelijk is geworden. Aangezien er nog geen aanvallen in het wild zijn die tegen Firefox werken, is het veiliger. Mensen moeten wel beseffen dat de bad guys uiteindelijk een manier vinden om Firefox wel te exploiten".
Op de Full-Disclosure mailinglist laat Sotirov verder weten dat er geen lek zit in de broncode van Firefox, maar dat de browser een Windows API functie gebruikt die de kwetsbare code in USER32.DLL aanroept. Het installeren van de MS07-017 patch beschermt echter ook Firefox.
Aangezien Mozilla het lek niet kan dichten, is dit de enige oplossing voor gebruikers. Wel raadt Sotirov Mozilla aan om het gebruik van de Windows API te beperken, zodat ze ook bij het volgende Windows lek geen gevaar lopen. Aangezien de patch net uit is, zal de beveiligingspexerts de details over de Firefox ANI exploit nog niet verstrekken.
Een wasmachine fabrikant is toch ook niet verantwoordelijk als er voor de kraan een lek zit?
Windows API te beperken, zodat ze ook bij het volgende
Windows lek geen gevaar lopen.
Maar het kan ook zo zijn dat Sotirov bedoelt dat sommige functionaliteit beter helemaal weggelaten kan worden; het wijzigen van de cursor (hiermee wordt de "muispijl" bedoeld) zou best eens een security issue kunnen zijn (denk aan click-coordinaten, vorm, geheel verstoppen terwijl elders op de pagina een nep-muispijl zichtbaar is, fixed of javascript-controlled etc).
Ook is Firefox een multi-platform browser, en door functionaliteit in Firefox zelf op te nemen kan wellicht een betere consistentie worden gerealiseerd. Bovendien gaat het daarbij niet om oeroude Win3.x GDI code (geschreven voor de tijd dat de webbrowser [url=http://en.wikipedia.org/wiki/Mosaic_(web_browser)]Mosaic[/url] heette en, op virussen na, nog helemaal niemand bij Wintel aan security dacht), maar om code die (hopelijk) met internet exposure in mind wordt geschreven. Dat geeft mij toch een veiliger gevoel.
Ten slotte heeft het gebruik van verschillende implementaties tot gevolg dat je minder single points of failure hebt; malware schrijvers zijn verzot op uniformiteit.
Update 19:00: augustus 2007 naar 2006
Daarna [url=http://lists.grok.org.uk/pipermail/full-disclosure/2007-April/053472.html]heeft Peter Ferrie bekendgemaakt[/url] dat Firefox via icon files (en misschien nog wel via andere methodes) de kwetsbare code in user32.dll kan aanroepen.
Dit betekent dat Firefox users niet safe meer zijn indien hun computer ongepatched is. Of er exploits in het wild voor zullen verschijnen weet ik niet, maar binnen enkele dagen een PoC zou me niet verbazen.
Windows onderdeel gebruikt
wel meer programma's die gebruik maken van dit onderdeel.
Deze zijn dus ook allemaal kwetsbaar.
echter ook Firefox.
enige oplossing voor gebruikers.
lek moeten dichten wat niet in hun software zit?!?!?
Een wasmachine fabrikant is toch ook niet verantwoordelijk
als er voor de kraan een lek zit?
Windows API te beperken, zodat ze ook bij het volgende
Windows lek geen gevaar lopen.
Als iedereen z'n eigen functies gaat definiëren is het eind
helemaal zoek.. Als je dan 3 programma's hebt die dezelfde
functie gebruiken heb je 3 patches nodig.. Als deze 3
programma's dezelfde API gebruiken maar 1.
waarschijnlijk anders geschreven. Dus de exploit werkt
misschien niet op alledrie. Dat betekent dat je sommige
programma's wel veilig kan blijven gebruiken en andere pas
nadat de api's gepatched zijn.
het gebruik van Windows en je bent een stuk veiliger!
daarop concentreren en je zal zien, het zal hopeloos lek blijken te zijn :)
Het installeren van de MS07-017 patch beschermt echter ook Firefox.
Een wasmachine fabrikant is toch ook niet verantwoordelijk als er voor de kraan een lek zit?
programma's dezelfde API gebruiken maar 1.
Het hele doel van API's is juist om een wildgroei aan eigen implementaties tegen te gaan. In de huidige situatie is de DLL hell soms al niet te overzien. Laat staan als iedereen z'n eigen "user32" gaat implementeren.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
