image

Firefox-gebruikers aangevallen via zero day-lek

vrijdag 7 augustus 2015, 09:52 door Redactie, 12 reacties

Firefox-gebruikers zijn deze week aangevallen via een zero day-lek in de browser, waarop Mozilla gisterenavond besloot om een noodpatch uit te brengen. Via de kwetsbaarheid kon een aanvaller naar gevoelige bestanden op de computer van gebruikers zoeken en die vervolgens naar een server uploaden.

De aanval die in het wild werd waargenomen vond plaats op een Russische nieuwssite. De exploit zorgde ervoor dat bestanden naar een server in de Oekraïne werden gestuurd. Daarbij zou er vooral zijn gezocht naar bestanden die op ontwikkelaars waren gericht. Zo werd er gezocht naar subversion, s3browser en configuratiebestanden van Filezilla, .purple en Psi+ accountgegevens, alsmede configuratiebestanden van acht verschillende populaire FTP-clients. De gebruikte exploit was zowel op Linux- als Windows-gebruikers gericht. Mac-gebruikers waren geen doelwit, maar zouden wel via de kwetsbaarheid kunnen worden aangevallen.

Verder laat de exploit geen sporen op de computer achter. Mozilla adviseert Firefox-gebruikers op Windows of Linux die de eerder genoemde programma's gebruiken om daar hun wachtwoorden en sleutels te veranderen. Hoewel de aanval op een Russische website is waargenomen, sluit Mozilla niet uit dat de exploit ook op andere websites is gebruikt. Gebruikers van een adblocker zijn mogelijk beschermd tegen de exploit, afhankelijk van welke filters ze gebruikten. Het lijkt dan ook dat de exploit via advertenties is verspreid. Firefox is volgens StatCounter na Chrome de populairste browser, met een marktaandeel van 16,5%.

PDF-viewer

De kwetsbaarheid is aanwezig in een mechanisme dat ervoor moet zorgen dat JavaScript gescheiden wordt van de PDF-viewer in Firefox. Het probleem was dan ook niet aanwezig in Firefox voor Android, aangezien deze browser niet over een embedded PDF-lezer beschikt. Een aanvaller kan via de kwetsbaarheid geen willekeurige code uitvoeren, om zo bijvoorbeeld malware te installeren of de computer over te nemen.

Toch heeft Mozilla het lek als kritiek beoordeeld, wat de hoogste rating voor kwetsbaarheden in Firefox is. Vanwege de kwetsbaarheid krijgen gebruikers het advies om direct naar Firefox 39.0.3 te upgraden. Dit kan via het updatemechanisme van de browser of Mozilla.org.

Reacties (12)
07-08-2015, 10:45 door Anoniem
Begrijp ik het goed dat dit m.b.v. javascript werkt?
Dus met javascript disabled in je browser werkt deze xploit niet?
07-08-2015, 10:47 door Anoniem
Gelukkig heb ik op Linux geen FTP-client zitten, maar bedankt voor de melding! Patch FF is gedownload.
07-08-2015, 11:33 door Anoniem
Ik schrok even, want ik heb gisteren nog een Russische nieuwssite bezocht (om te zien wat Putin wil dat we denken) maar gelukkig was de exploit (nog) niet op Mac gericht.
07-08-2015, 12:02 door Briolet
Door Anoniem: Begrijp ik het goed dat dit m.b.v. javascript werkt?

Ik zou het nog een keer lezen. b.v. het stuk over Firefox op Android.
07-08-2015, 12:04 door Anoniem
Noscript is sowieso altijd handig ook al belemmert dat soms je browse ervaring. Ik ben wel benieuwd hoe het überhaupt mogelijk is dat op linux een applicatie toegang krijgt tot andere directories en dit niet geïsoleerd is, moet ook niet kunnen. Omdat het een Russische website betreft zou je er bijna vanuit kunnen gaan dat het een vanuit Oekraïne gecoördineerde aanval is... maar daar kom je toch nooit achter.
07-08-2015, 12:36 door Anoniem
Door Briolet:
Door Anoniem: Begrijp ik het goed dat dit m.b.v. javascript werkt?

Ik zou het nog een keer lezen. b.v. het stuk over Firefox op Android.
OK, nog een keer:
Op https://blog.mozilla.org/security/2015/08/06/firefox-exploit-found-in-the-wild/
(dat is de link achter blauwe woordje "adviseert") staat het volgende:

"The vulnerability comes from the interaction of the mechanism that enforces JavaScript context separation (the “same origin policy”) and Firefox’s PDF Viewer." en:
"The vulnerability does not enable the execution of arbitrary code but the exploit was able to inject a JavaScript payload into the local file context."

Houdt dit tevens in dat ik geen last heb van de xploit als ik wel die Firefox .pdf viewer heb, maar javascript uit heb staan?
07-08-2015, 12:40 door Anoniem
Update Firefox is nu ook binnen voor Linux (Mint)
07-08-2015, 12:54 door Anoniem
De kwetsbaarheid is aanwezig in een mechanisme dat ervoor moet zorgen dat JavaScript gescheiden wordt van de PDF-viewer in Firefox. Het probleem was dan ook niet aanwezig in Firefox voor Android, aangezien deze browser niet over een embedded PDF-lezer beschikt.

Ik heb die inline pdf viewer vanuit security oogpunt nooit vertrouwd, daarnaast is zij ook (soms) lastig(er) als je een pdf wil bewaren.

Alhoewel het niet wordt gezegd, heb ik het vermoeden dat dat probleem wordt opgelost door in je voorkeursinstellingen bij de file en programma voorkeuren de standaard voorkeur van inline pdf bekijken op "save file" (=download) of op vragen te zetten.
Als je het standaard op downloaden zet kan je daarna het pdf nog scannen en zelf beslissen met welke veilig geconfigureerde pdf reader je het opent.

Overigens is het niet onverstandig naar meer settings onder die voorkeuren daar te kijken en sommige zaken minimaal op 'eerst vragen' te zetten.

Het is maar een ideetje ... naast het updaten van je browser natuurlijk.
08-08-2015, 01:04 door Anoniem
Vervelend dat PDF bestanden automatisch in Firefox worden geopend in plaats van de op de PC geïnstalleerde PDF viewer.
08-08-2015, 12:44 door yobi - Bijgewerkt: 08-08-2015, 12:47
Hoe zit het met Iceweasel 31.8 (de standaard browser van Debian en Kali)?
08-08-2015, 15:26 door 0101 - Bijgewerkt: 08-08-2015, 15:41
@yobi: Firefox 31.8 ESR en daarmee ook afgeleiden zoals Iceweasel 31.8 en Tor Browser 4.5.3 zijn niet kwetsbaar volgens https://bugzilla.mozilla.org/show_bug.cgi?id=1179262#c33. (De 38.x ESR-versie was wél kwetsbaar en heeft een update gekregen.)

Overigens kan de PDF-lezer eenvoudig uitgezet worden door in about:config de waarde pdf.disabled op true te zetten.

Verder lijkt de kwetsbare code te zijn verwijderd in deze commit: https://github.com/mozilla/pdf.js/commit/4f3f983a214867011dda8c5597a4d3523c5f1423. Dit baseer ik op het feit dat naar deze bug (https://bugzilla.mozilla.org/show_bug.cgi?id=1179262) wordt verwezen in de security advisory.
08-08-2015, 15:40 door 0101
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.