.Firefox 與 IE 之零時差問題
日前發現微軟網頁瀏覽器IE有嚴重「零時差」安全漏洞的安全專家再次警告,同樣的問題也會影響Firefox使用者。
同時安裝有IE與Firefox 2.0以後版本的使用者,都面臨「相當嚴重」之風險。問題起於使用者以IE瀏覽某個惡意網站,而其註冊了"firefoxurl://" URI(資源辨識字串)處理器,以便瀏覽器與特定的網路資源互動。因此,使用者的系統可能遭到遠端破壞。
10日稍早,發現上述瑕疵的安全研究員Thor Larholm與電腦安全公司賽門鐵克將此歸咎於微軟IE,但Secunia技術長Thomas Kristensen稍後指出,Firefox 2.0版才是罪魁禍首。
賽門鐵克安全反應中心(Symantec Security Response Center)主任Oliver Friedrichs說:「兩方都有一點責任。把兩個不太能共處且非常複雜的應用軟體放在一起,就會導致安全問題。這兩個元件就單一產品而言都是安全的,但放在一起就不是。」
Larholm在回覆讀者評論時也表示:「Firefox是目前攻擊的帶原者,但IE錯在沒有過濾…就把資料傳給指令列。我同意Firefox應該用純粹的DDE(動態資料交換,資訊交換之協定)註冊其URL處理器,藉此迴避指令列參數夾帶攻擊的可能,但IE應該仍可安全地啟動外部應用程式。」
Friedrichs指出,雖然去年10月推出第二版的Firefox使用人數已相當可觀,大多數的Firefox使用者仍有安裝微軟IE,受到影響的人數可能非常大。Kristensen也說:「Windows系統已註冊了一個新的URI處理器,允許網站在'firefoxurl://' URI被呼叫時,強迫開啟Firefox。如ftp://、http://等則會啟動其他應用軟體。」
但由於該URI處理器是由Firefox所註冊,當firefoxurl://被啟動,任何參數(啟動某個程式執行某個特定工作)都會由微軟IE或其他應用軟體傳給Firefox。Kristensen表示,攻擊者或可利用"chrome"(創造頁面顯示框架的瀏覽器界面元件),在受害系統注入能在 Firefox內執行的程式碼。
Kristensen說:「URI處理器的註冊必須非常小心,因為Windows沒有任何適當的方法去知道哪種輸入資料可能對某個應用軟體產生危險。舉例來說,Windows怎會知道一串'chrome'會對Firefox造成危險。」
他表示,除了避免進入惡意網站外,系統管理員可取消註冊、或移除"Firefox URL" URI處理器,及變更Firefox接受chrome資料的方式。(陳智文/譯)
2007年7月12日 星期四
同時出現在 IE 7 與 Firefox 2.0 的漏洞
同時出現在 IE 7 與 Firefox 2.0 的漏洞
IE7 and Firefox 2.0 Share Vulnerabilities
http://news.softpedia.com/news/IE7-and-Firefox-2-0-Share-Vulnerabilities-47439.shtml
By: Marius Oiaga, Technology News Editor
Internet Explorer 7 與 Firefox 2.0 共有一個邏輯上的缺失。當微軟或Mozilla 這兩種版本的瀏覽並非唯一受到影響的瀏覽器時,這個問題就顯得很嚴重。就此而言,這個漏洞影響了 IE5.01 以後的版本包括 IE7,以及Firefox 1.5.0.9。不過微軟強調,在 Windows Vista 上的 IE7 並不受到影響。
"在現代所有瀏覽器當中,在 form 範圍內的 <"INPUT TYPE=FILE">(用來傳送使用者指定的檔案到遠端 server)享受著額外的保護措施,以避免scripts 可以任意選擇本地端的檔案以便傳送,以及避免在未告知使用者的情況下就自動送出。例如, '.value' 參數,無法被設定或改變,而且任何對於 .type 的改變,會導致欄位內容重置," Michal Zalewski,這位發現IE7 問題的人表示。
如果這個漏洞要成功地被使用的話,與使用者的互動是必須的。在這個脈絡下,使用者可能得要在網頁中變造過的(malformed)欄位輸入文字,不管是 IE 或 Firefox。Zalewski 解釋,如果鍵盤輸入是發生在無關緊要的地方,那麼這些資料有可能被攻擊者傳送到輸入欄位。
為了要示範 IE7 的漏洞,可以按(後果自負,
http://lcamtuf.coredump.cx/focusbug/ieversion.html)。
而 Firefox 相似的示範可以按(後果自負,
http://lcamtuf.coredump.cx/focusbug/ffversion.html)。
"這些例子都是針對 Windows 而來,而且需要 C:BOOT.INI 存在,而且可被使用者讀取。這個攻擊本身不限於特定作業系統,不過我決定要提供一個示範給大部分的 desktop OS(指 Windows) -- 而能夠存取 /etc/hosts 或/etc/passwd 的 *NIX 版本,也很容易開發," Zalewski 提到。
IE7 and Firefox 2.0 Share Vulnerabilities
http://news.softpedia.com/news/IE7-and-Firefox-2-0-Share-Vulnerabilities-47439.shtml
By: Marius Oiaga, Technology News Editor
Internet Explorer 7 與 Firefox 2.0 共有一個邏輯上的缺失。當微軟或Mozilla 這兩種版本的瀏覽並非唯一受到影響的瀏覽器時,這個問題就顯得很嚴重。就此而言,這個漏洞影響了 IE5.01 以後的版本包括 IE7,以及Firefox 1.5.0.9。不過微軟強調,在 Windows Vista 上的 IE7 並不受到影響。
"在現代所有瀏覽器當中,在 form 範圍內的 <"INPUT TYPE=FILE">(用來傳送使用者指定的檔案到遠端 server)享受著額外的保護措施,以避免scripts 可以任意選擇本地端的檔案以便傳送,以及避免在未告知使用者的情況下就自動送出。例如, '.value' 參數,無法被設定或改變,而且任何對於 .type 的改變,會導致欄位內容重置," Michal Zalewski,這位發現IE7 問題的人表示。
如果這個漏洞要成功地被使用的話,與使用者的互動是必須的。在這個脈絡下,使用者可能得要在網頁中變造過的(malformed)欄位輸入文字,不管是 IE 或 Firefox。Zalewski 解釋,如果鍵盤輸入是發生在無關緊要的地方,那麼這些資料有可能被攻擊者傳送到輸入欄位。
為了要示範 IE7 的漏洞,可以按(後果自負,
http://lcamtuf.coredump.cx/focusbug/ieversion.html)。
而 Firefox 相似的示範可以按(後果自負,
http://lcamtuf.coredump.cx/focusbug/ffversion.html)。
"這些例子都是針對 Windows 而來,而且需要 C:BOOT.INI 存在,而且可被使用者讀取。這個攻擊本身不限於特定作業系統,不過我決定要提供一個示範給大部分的 desktop OS(指 Windows) -- 而能夠存取 /etc/hosts 或/etc/passwd 的 *NIX 版本,也很容易開發," Zalewski 提到。
Firefox 與 IE URI handler 出現問題
Firefox 與 IE URI handler 出現問題
Firefox and IE together brew up security trouble
http://news.com.com/8301-10784_3-9741435-7.html
Posted by Dawn Kawamoto July 10, 2007
在安全研究者最新的更新中,原先是指責微軟的 IE 又惹上一個新的零時exploit,現在發現這個 exploit 也可影響使用 Firefox 的人。
使用者的電腦如果有同時安裝 IE 以及 Firefox 2.0 以後的版本,可能會面臨「高度危急(highly critical)」的風險。這個問題始於,當用 IE 瀏覽一個惡意網站,而它又註冊「firefoxurl://」這個 URI handler 的時候,將允許瀏覽器與網站特定資源互動。結果是,使用者可能會發現他們的系統遭人從遠端危害。
在週二一早,安全研究者 Thor Larholm,他發現這個 IE 瑕疵,而Symantec 諸多責備 IE,不過同時間 Secunia 的 CTO Thomas Kristensen 則將此歸因於 Firefox 版本 2.0 以後所惹出來的問題。
"兩者兼而有之," Oliver Friedrichs,說 Symantec Security Response Center 的主任。 "你有二個相當複雜的軟體,而它們配合的不是很好,導致安全問題產生。這些元件獨自存在時自身相當安全,不過在一起就不同了。"
"Firefox 是當前的攻擊向量(attack vector),不過 IE 因為無法避免輸入到命令列中的指令而遭受指責," Larholm 說,在回應讀者時表示。"我同意 Firefox 已透過純粹的 DDE(dynamic data exchange)將其 URL handler 註冊,故無法逃避經由命令列參數 injection 的可能性,但 IE 應仍能安全的啟動外部應用。"
Friedrichs 則提到,雖然 Firefox(它在去年釋出版本 2)逐漸流行,不過大部分的 Firefox 使用者依然會讓 IE 留在電腦上,因為它本身就隨著Windows 作業系統而來。
遭遇風險的人數可能會很多,他說。
此時,Secunia 的 Kristensen 表示:"一種新的 URI handler 在Windows 系統上被註冊,假若 'firefoxurl://' URI 被呼叫,就能讓網站強迫啟動 Firefox, 如同 ftp://、http:// 或類似的 URI 能呼叫其他應用一樣。"
因為這種 URI handler 是由 Firefox 註冊,當 firefoxurl:// 啟動時,將導致任何參數 -- 那可啟動某程式進行某種特殊任務 -- 從微軟 IE 或其他應用傳遞到 Firefox。
攻擊者或能使用 "chrome" context -- 一個瀏覽器的界面元素,那能在它顯示的頁面四周創造 frame -- 將程式碼 inject 到使用者系統中,這些都可以在 Firefox 內完成,Kristensen 說。
"註冊 URI handler 須謹慎完成,因為 Windows 沒有恰當的方式能知道那種輸入潛在上會傷害一個應用," Kristensen 說。"例如,Windows 怎知'chrome' 這個字串對 Firefox 會造成傷害?"
除了躲開惡意網站外,系統管理員可以取消註冊,或移除 "Firefox URL" URI handler,或是改變 Firefox 同意 chrome 輸入的方式,Kristensen 說。
※ 要 disable "Firefox URL" 很簡單,開啟「檔案總管」→「工具」→ 「資料夾選項」→「檔案類型」,接著按「註冊的檔案類型」的「檔案類型」然後開始找「Firefox URL」這一行(它的副檔名是 N/A),接著按下面的進階,把執行動作裡面的「open」改成其他名稱,例如 xxx 就可以避免這個問題了,當然,直接砍掉也可以。請參考下圖:
* Firefox "firefoxurl" URI Handler Registration Vulnerability - Advisories - Secunia http://secunia.com/advisories/25984/
Firefox and IE together brew up security trouble
http://news.com.com/8301-10784_3-9741435-7.html
Posted by Dawn Kawamoto July 10, 2007
在安全研究者最新的更新中,原先是指責微軟的 IE 又惹上一個新的零時exploit,現在發現這個 exploit 也可影響使用 Firefox 的人。
使用者的電腦如果有同時安裝 IE 以及 Firefox 2.0 以後的版本,可能會面臨「高度危急(highly critical)」的風險。這個問題始於,當用 IE 瀏覽一個惡意網站,而它又註冊「firefoxurl://」這個 URI handler 的時候,將允許瀏覽器與網站特定資源互動。結果是,使用者可能會發現他們的系統遭人從遠端危害。
在週二一早,安全研究者 Thor Larholm,他發現這個 IE 瑕疵,而Symantec 諸多責備 IE,不過同時間 Secunia 的 CTO Thomas Kristensen 則將此歸因於 Firefox 版本 2.0 以後所惹出來的問題。
"兩者兼而有之," Oliver Friedrichs,說 Symantec Security Response Center 的主任。 "你有二個相當複雜的軟體,而它們配合的不是很好,導致安全問題產生。這些元件獨自存在時自身相當安全,不過在一起就不同了。"
"Firefox 是當前的攻擊向量(attack vector),不過 IE 因為無法避免輸入到命令列中的指令而遭受指責," Larholm 說,在回應讀者時表示。"我同意 Firefox 已透過純粹的 DDE(dynamic data exchange)將其 URL handler 註冊,故無法逃避經由命令列參數 injection 的可能性,但 IE 應仍能安全的啟動外部應用。"
Friedrichs 則提到,雖然 Firefox(它在去年釋出版本 2)逐漸流行,不過大部分的 Firefox 使用者依然會讓 IE 留在電腦上,因為它本身就隨著Windows 作業系統而來。
遭遇風險的人數可能會很多,他說。
此時,Secunia 的 Kristensen 表示:"一種新的 URI handler 在Windows 系統上被註冊,假若 'firefoxurl://' URI 被呼叫,就能讓網站強迫啟動 Firefox, 如同 ftp://、http:// 或類似的 URI 能呼叫其他應用一樣。"
因為這種 URI handler 是由 Firefox 註冊,當 firefoxurl:// 啟動時,將導致任何參數 -- 那可啟動某程式進行某種特殊任務 -- 從微軟 IE 或其他應用傳遞到 Firefox。
攻擊者或能使用 "chrome" context -- 一個瀏覽器的界面元素,那能在它顯示的頁面四周創造 frame -- 將程式碼 inject 到使用者系統中,這些都可以在 Firefox 內完成,Kristensen 說。
"註冊 URI handler 須謹慎完成,因為 Windows 沒有恰當的方式能知道那種輸入潛在上會傷害一個應用," Kristensen 說。"例如,Windows 怎知'chrome' 這個字串對 Firefox 會造成傷害?"
除了躲開惡意網站外,系統管理員可以取消註冊,或移除 "Firefox URL" URI handler,或是改變 Firefox 同意 chrome 輸入的方式,Kristensen 說。
※ 要 disable "Firefox URL" 很簡單,開啟「檔案總管」→「工具」→ 「資料夾選項」→「檔案類型」,接著按「註冊的檔案類型」的「檔案類型」然後開始找「Firefox URL」這一行(它的副檔名是 N/A),接著按下面的進階,把執行動作裡面的「open」改成其他名稱,例如 xxx 就可以避免這個問題了,當然,直接砍掉也可以。請參考下圖:
* Firefox "firefoxurl" URI Handler Registration Vulnerability - Advisories - Secunia http://secunia.com/advisories/25984/
訂閱:
文章 (Atom)