r   e   k   l   a   m   a
r   e   k   l   a   m   a

Natychmiast zaktualizuj Firefoksa, by uniknąć wykradającego hasła ataku 0-day

Strona główna AktualnościOPROGRAMOWANIE

Jeszcze niedawno Mozilla ogłaszała Flash Playera największym zagrożeniem dla bezpieczeństwa Sieci, domyślnie wyłączyła jego obsługę w Firefoksie i zachęcała do deinstalacji wtyczki Adobe. Ujawniona w Firefoksie luka 0-day, która już jest wykorzystywana przez cyberprzestępców pokazuje, że teraz należałoby uznać za zagrożenie też Firefoksa, domyślnie wyłączając go w systemach operacyjnych i zachęcać do jego deinstalacji. Tak daleko jednak nie pójdziemy, za to zachęcamy Was do jak najszybszego zaktualizowania tej przeglądarki.

Autor tego newsa, jako użytkownik Firefoksa z upodobaniem do przeglądania rosyjskojęzycznych stron sam miał okazję napotkać exploit korzystający z tego 0-day i teraz może tylko pogratulować sobie korzystania z rozszerzenia NoScript i uruchamiania przeglądarki w izolowanym od reszty systemu kontenerze. Atak jest bardzo sprytny – pozwala na niezauważone dla użytkownika wykradnięcie lokalnych plików, co może przynieść katastrofalne skutki.

Lukę jako pierwszy zgłosił Mozilli badacz Cody Crews, niestety nie był on jej pierwszym odkrywcą. W biuletynie bezpieczeństwa 2015-78 Mozilla wyjaśnia, że atak polega na naruszeniu polityki same-origin przeglądarki, ograniczającej dostęp dla skryptu do danych znajdujących się w innej niż on lokacji w sieci i wstrzyknięciu wrogiego skryptu we wbudowaną wyświetlarkę dokumentów PDF (pdf.js).

r   e   k   l   a   m   a

Odkrycie to zostało wykorzystane już w rosyjskojęzycznym Internecie. Jeden z popularnych serwisów z newsami wyświetlał reklamy zawierające wrogi kod JS, który po skutecznym wyexploitowaniu Firefoksa przesyłał na serwer znajdujący się na Ukrainie wrażliwe pliki. Atak był skierowany zarówno przeciwko użytkownikom Windows jak i Linuksa. W tym pierwszym wyszukiwał plików konfiguracyjnych klientów svn, s3browsera, komunikatorów Psi i Pidgin oraz FileZilli i kilku innych klientów FTP. Na Linuksie próbował uzyskać dostęp do /etc/passwd, a następnie przeglądał pliki takie jak .bash_history, .mysql_history, .pgsql_history, klucze i pliki w katalogu .ssh, konfiguracje klienta zdalnego desktopu Remmina, komunikatorów Psi i Pidgin, wszystkie pliki o nazwach pass i access oraz dostępne mu skrypty powłoki.

Na Makach atak nie działa, ale tylko dlatego, że napastnicy na Maki nie przygotowali po prostu odpowiedniego ładunku – sama podatność występuje też w wersji Firefoksa dla OS-a X.

Najgorsze jest to, że atak nie zostawia żadnych śladów u ofiary. Jeśli korzystaliście w Firefoksie z niepewnych serwisów, z włączoną na nich obsługą JavaScriptu, niewykluczone że i Wasze dane zostały wykradzione. Jedynym obecnie rozwiązaniem jest zaktualizowanie Firefoksa do wersji 39.0.3 (kompilacja dla Windows, kompilacja dla Maka), a jeśli korzystacie z Firefoksa ESR (Extended Support), to do wersji 38.1. Wersja na Androida, pozbawiona pdf.js, nie jest zagrożona tym atakiem. W repozytoriach najpopularniejszych dystrybucji Linuksa nowy Firefox jest już dostępny.

Swoją drogą widać, że integrowanie czytnika PDF z przeglądarką, bez stworzenia odpowiedniej architektury piaskownicy dla rozszerzeń nie było zbyt genialnym pomysłem. Mozilla zrobiła to dlatego, że Google pokazało wcześniej swoją własną binarną wtyczkę libpdf dla Chrome. Ta jednak, zamknięta w sandboksie wtyczek Pepper, jest znacznie trudniejsza do wyexploitowania od skryptu pdf.js uruchamianego przez Firefoksa. Warto też zwrócić uwagę na to, czego napastnicy szukali – interesowały ich dane z programów, które nie szyfrują wrażliwych danych, takich właśnie jak Filezilla, która przechowuje w jednym pliku konfiguracyjnym niezaszyfrowane hasła, loginy i nazwy hostów i aż się prosi, by ktoś tym plikiem się zainteresował.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.