Jeszcze niedawno Mozilla ogłaszała Flash Playera największym zagrożeniem dla bezpieczeństwa Sieci, domyślnie wyłączyła jego obsługę w Firefoksie i zachęcała do deinstalacji wtyczki Adobe. Ujawniona w Firefoksie luka 0-day, która już jest wykorzystywana przez cyberprzestępców pokazuje, że teraz należałoby uznać za zagrożenie też Firefoksa, domyślnie wyłączając go w systemach operacyjnych i zachęcać do jego deinstalacji. Tak daleko jednak nie pójdziemy, za to zachęcamy Was do jak najszybszego zaktualizowania tej przeglądarki.
Autor tego newsa, jako użytkownik Firefoksa z upodobaniem do przeglądania rosyjskojęzycznych stron sam miał okazję napotkać exploit korzystający z tego 0-day i teraz może tylko pogratulować sobie korzystania z rozszerzenia NoScript i uruchamiania przeglądarki w izolowanym od reszty systemu kontenerze. Atak jest bardzo sprytny – pozwala na niezauważone dla użytkownika wykradnięcie lokalnych plików, co może przynieść katastrofalne skutki.
Lukę jako pierwszy zgłosił Mozilli badacz Cody Crews, niestety nie był on jej pierwszym odkrywcą. W biuletynie bezpieczeństwa 2015-78 Mozilla wyjaśnia, że atak polega na naruszeniu polityki same-origin przeglądarki, ograniczającej dostęp dla skryptu do danych znajdujących się w innej niż on lokacji w sieci i wstrzyknięciu wrogiego skryptu we wbudowaną wyświetlarkę dokumentów PDF (pdf.js).
Odkrycie to zostało wykorzystane już w rosyjskojęzycznym Internecie. Jeden z popularnych serwisów z newsami wyświetlał reklamy zawierające wrogi kod JS, który po skutecznym wyexploitowaniu Firefoksa przesyłał na serwer znajdujący się na Ukrainie wrażliwe pliki. Atak był skierowany zarówno przeciwko użytkownikom Windows jak i Linuksa. W tym pierwszym wyszukiwał plików konfiguracyjnych klientów svn, s3browsera, komunikatorów Psi i Pidgin oraz FileZilli i kilku innych klientów FTP. Na Linuksie próbował uzyskać dostęp do /etc/passwd, a następnie przeglądał pliki takie jak .bash_history, .mysql_history, .pgsql_history, klucze i pliki w katalogu .ssh, konfiguracje klienta zdalnego desktopu Remmina, komunikatorów Psi i Pidgin, wszystkie pliki o nazwach pass i access oraz dostępne mu skrypty powłoki.
Na Makach atak nie działa, ale tylko dlatego, że napastnicy na Maki nie przygotowali po prostu odpowiedniego ładunku – sama podatność występuje też w wersji Firefoksa dla OS-a X.
Najgorsze jest to, że atak nie zostawia żadnych śladów u ofiary. Jeśli korzystaliście w Firefoksie z niepewnych serwisów, z włączoną na nich obsługą JavaScriptu, niewykluczone że i Wasze dane zostały wykradzione. Jedynym obecnie rozwiązaniem jest zaktualizowanie Firefoksa do wersji 39.0.3 (kompilacja dla Windows, kompilacja dla Maka), a jeśli korzystacie z Firefoksa ESR (Extended Support), to do wersji 38.1. Wersja na Androida, pozbawiona pdf.js, nie jest zagrożona tym atakiem. W repozytoriach najpopularniejszych dystrybucji Linuksa nowy Firefox jest już dostępny.
Swoją drogą widać, że integrowanie czytnika PDF z przeglądarką, bez stworzenia odpowiedniej architektury piaskownicy dla rozszerzeń nie było zbyt genialnym pomysłem. Mozilla zrobiła to dlatego, że Google pokazało wcześniej swoją własną binarną wtyczkę libpdf dla Chrome. Ta jednak, zamknięta w sandboksie wtyczek Pepper, jest znacznie trudniejsza do wyexploitowania od skryptu pdf.js uruchamianego przez Firefoksa. Warto też zwrócić uwagę na to, czego napastnicy szukali – interesowały ich dane z programów, które nie szyfrują wrażliwych danych, takich właśnie jak Filezilla, która przechowuje w jednym pliku konfiguracyjnym niezaszyfrowane hasła, loginy i nazwy hostów i aż się prosi, by ktoś tym plikiem się zainteresował.
Witaj gościu. Dziękujemy, że przeglądasz nasze forum ale czy wiesz, że zakładając konto możesz w pełni korzystać z dobrodziejstw jakimi są promocje i konkursy. Nie zobaczysz tu też żadnych reklam a rejestracja zajmie Ci tylko chwilę.
Ta strona wykorzystuje ciasteczka (cookies) w celu: utrzymania sesji zalogowanego Użytkownika, gromadzenia informacji związanych z korzystaniem z serwisu, ułatwienia Użytkownikom korzystania z niego, dopasowania treści wyświetlanych Użytkownikowi oraz tworzenia statystyk oglądalności czy efektywności publikowanych reklam.Użytkownik ma możliwość skonfigurowania ustawień cookies za pomocą ustawień swojej przeglądarki internetowej. Użytkownik wyraża zgodę na używanie i wykorzystywanie cookies oraz ma możliwość wyłączenia cookies za pomocą ustawień swojej przeglądarki internetowej.
