Firefox-gebruikers aangevallen via zero day-lek
Firefox-gebruikers zijn deze week aangevallen via een zero day-lek in de browser, waarop Mozilla gisterenavond besloot om een noodpatch uit te brengen. Via de kwetsbaarheid kon een aanvaller naar gevoelige bestanden op de computer van gebruikers zoeken en die vervolgens naar een server uploaden.
De aanval die in het wild werd waargenomen vond plaats op een Russische nieuwssite. De exploit zorgde ervoor dat bestanden naar een server in de Oekraïne werden gestuurd. Daarbij zou er vooral zijn gezocht naar bestanden die op ontwikkelaars waren gericht. Zo werd er gezocht naar subversion, s3browser en configuratiebestanden van Filezilla, .purple en Psi+ accountgegevens, alsmede configuratiebestanden van acht verschillende populaire FTP-clients. De gebruikte exploit was zowel op Linux- als Windows-gebruikers gericht. Mac-gebruikers waren geen doelwit, maar zouden wel via de kwetsbaarheid kunnen worden aangevallen.
Verder laat de exploit geen sporen op de computer achter. Mozilla adviseert Firefox-gebruikers op Windows of Linux die de eerder genoemde programma's gebruiken om daar hun wachtwoorden en sleutels te veranderen. Hoewel de aanval op een Russische website is waargenomen, sluit Mozilla niet uit dat de exploit ook op andere websites is gebruikt. Gebruikers van een adblocker zijn mogelijk beschermd tegen de exploit, afhankelijk van welke filters ze gebruikten. Het lijkt dan ook dat de exploit via advertenties is verspreid. Firefox is volgens StatCounter na Chrome de populairste browser, met een marktaandeel van 16,5%.
PDF-viewer
De kwetsbaarheid is aanwezig in een mechanisme dat ervoor moet zorgen dat JavaScript gescheiden wordt van de PDF-viewer in Firefox. Het probleem was dan ook niet aanwezig in Firefox voor Android, aangezien deze browser niet over een embedded PDF-lezer beschikt. Een aanvaller kan via de kwetsbaarheid geen willekeurige code uitvoeren, om zo bijvoorbeeld malware te installeren of de computer over te nemen.
Toch heeft Mozilla het lek als kritiek beoordeeld, wat de hoogste rating voor kwetsbaarheden in Firefox is. Vanwege de kwetsbaarheid krijgen gebruikers het advies om direct naar Firefox 39.0.3 te upgraden. Dit kan via het updatemechanisme van de browser of Mozilla.org.
Dus met javascript disabled in je browser werkt deze xploit niet?
Ik zou het nog een keer lezen. b.v. het stuk over Firefox op Android.
Ik zou het nog een keer lezen. b.v. het stuk over Firefox op Android.
Op https://blog.mozilla.org/security/2015/08/06/firefox-exploit-found-in-the-wild/
(dat is de link achter blauwe woordje "adviseert") staat het volgende:
"The vulnerability comes from the interaction of the mechanism that enforces JavaScript context separation (the “same origin policy”) and Firefox’s PDF Viewer." en:
"The vulnerability does not enable the execution of arbitrary code but the exploit was able to inject a JavaScript payload into the local file context."
Houdt dit tevens in dat ik geen last heb van de xploit als ik wel die Firefox .pdf viewer heb, maar javascript uit heb staan?
Ik heb die inline pdf viewer vanuit security oogpunt nooit vertrouwd, daarnaast is zij ook (soms) lastig(er) als je een pdf wil bewaren.
Alhoewel het niet wordt gezegd, heb ik het vermoeden dat dat probleem wordt opgelost door in je voorkeursinstellingen bij de file en programma voorkeuren de standaard voorkeur van inline pdf bekijken op "save file" (=download) of op vragen te zetten.
Als je het standaard op downloaden zet kan je daarna het pdf nog scannen en zelf beslissen met welke veilig geconfigureerde pdf reader je het opent.
Overigens is het niet onverstandig naar meer settings onder die voorkeuren daar te kijken en sommige zaken minimaal op 'eerst vragen' te zetten.
Het is maar een ideetje ... naast het updaten van je browser natuurlijk.
Overigens kan de PDF-lezer eenvoudig uitgezet worden door in about:config de waarde pdf.disabled op true te zetten.
Verder lijkt de kwetsbare code te zijn verwijderd in deze commit: https://github.com/mozilla/pdf.js/commit/4f3f983a214867011dda8c5597a4d3523c5f1423. Dit baseer ik op het feit dat naar deze bug (https://bugzilla.mozilla.org/show_bug.cgi?id=1179262) wordt verwezen in de security advisory.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
