Firefox exploit found in the wild

[\[T]/]

Quelle

Yesterday morning, August 5, a Firefox user informed us that an advertisement on a news site in Russia was serving a Firefox exploit that searched for sensitive files and uploaded them to a server that appears to be in Ukraine. This morning Mozilla released security updates that fix the vulnerability. All Firefox users are urged to update to Firefox 39.0.3. The fix has also been shipped in Firefox ESR 38.1.1. The vulnerability comes from the interaction of the mechanism that enforces JavaScript context separation (the “same origin policy”) and Firefox’s PDF Viewer. Mozilla products that don’t contain the PDF Viewer, such as Firefox for Android, are not vulnerable. The vulnerability does not enable the execution of arbitrary code but the exploit was able to inject a JavaScript payload into the local file context. This allowed it to search for and upload potentially sensitive local files.

The files it was looking for were surprisingly developer focused for an exploit launched on a general audience news site, though of course we don’t know where else the malicious ad might have been deployed. On Windows the exploit looked for subversion, s3browser, and Filezilla configurations files, .purple and Psi+ account information, and site configuration files from eight different popular FTP clients. On Linux the exploit goes after the usual global configuration files like /etc/passwd, and then in all the user directories it can access it looks for .bash_history, .mysql_history, .pgsql_history, .ssh configuration files and keys, configuration files for remina, Filezilla, and Psi+, text files with “pass” and “access” in the names, and any shell scripts. Mac users are not targeted by this particular exploit but would not be immune should someone create a different payload.

The exploit leaves no trace it has been run on the local machine. If you use Firefox on Windows or Linux it would be prudent to change any passwords and keys found in the above-mentioned files if you use the associated programs. People who use ad-blocking software may have been protected from this exploit depending on the software and specific filters being used.

Und darum Kinder, darum ist NoScript euer Freund.

[BlackCobra]

Für alle die es interessiert die CVE ist: CVE-2015-4495, und der Exploit ist meines Wissens nicht public.

[Cystasy]

Vermutung / Idee:

1) Pdf Dokument mit eingebautem Javascript
2) Pdf läd sich auf lokaler TMP Ordner beim Preview der PDF (pdf.js vom firefox)
3) SOP greift nicht bei lokalen Dateien da man ja auf localhost ist
4) Zugriff auf Lokale Files möglich
5) Boing. Man kann Lokale Files durchschaun (wie der upload geht..vllt per POST requests oder so kp)

Habs leider nicht hinbekommen Javascriptcode in ner PDF beim firefox auszuführen, falls das jemand hinbekommt kann er es ja mal testen ob die Idee von mir klappen könnte.

[Lindor]

Wer heutzutage noch etwas anderes als Edge nutzt, dem ist eh nicht zu helfen! Immerhin sollte es ausreichend bekannt sein, dass mit dem Upgrade auf Windows 10 alle Browser außer Edge permanent Daten an Microsoft senden, damit man dort Edge weiter verbessern kann. Nutzer von Chrome und Firefox werden systematisch analysiert und durchleuchtet um sie früher oder später zum Wechsel auf Edge zu zwingen...

[Vr3piz4]

Vermutung / Idee:

1) Pdf Dokument mit eingebautem Javascript
2) Pdf läd sich auf lokaler TMP Ordner beim Preview der PDF (pdf.js vom firefox)
3) SOP greift nicht bei lokalen Dateien da man ja auf localhost ist
4) Zugriff auf Lokale Files möglich
5) Boing. Man kann Lokale Files durchschaun (wie der upload geht..vllt per POST requests oder so kp)

Habs leider nicht hinbekommen Javascriptcode in ner PDF beim firefox auszuführen, falls das jemand hinbekommt kann er es ja mal testen ob die Idee von mir klappen könnte.

Wow, toll. Steht ja dort.

[Cystasy]

Wow, toll. Steht ja dort.

Tut es?
Bisher habe ich nirgends genauere Details über den Exploit gehört.. überall steht nur das es eine Sicherheitslücke im PDF Viewer von Firefox gibt, worüber man per Javascript dann Lokale Dateien klauen kann. Aber nichts "wie" es gemacht wird oder gar ein Exploit den man als Sourcecode anschauen könnte. Falls doch - berichtige mich.

[Jut4h.tm]

Wer heutzutage noch etwas anderes als Edge nutzt, dem ist eh nicht zu helfen! Immerhin sollte es ausreichend bekannt sein, dass mit dem Upgrade auf Windows 10 alle Browser außer Edge permanent Daten an Microsoft senden, damit man dort Edge weiter verbessern kann. Nutzer von Chrome und Firefox werden systematisch analysiert und durchleuchtet um sie früher oder später zum Wechsel auf Edge zu zwingen...

Ich hoffe du meinst das Ironisch... Wenn du die Qualität von Edge an den Posts auf diversen sozialen Netzwerken und Funpages bewertest, solltest du dich mal fragen wer denn diese Posts über die Performance und Co auf reddit gestellt hat ;-). Auch Microsoft kann da posten. Des Weiteren würde Google NIEMALS Daten an Microsoft senden um deren Produkte zu verbessern, denk mal drüber nach ob du das tun würdest wenn es um dein Produkt gehen würde.

Um das auf den Punkt zu bringen:
Browserzwang wird es nicht mehr geben, Freiheit ist jetzt Trend und daran wird sich der Markt auch halten, weil alle drauf abfahren. Hier nochmal zum nachlesen, warum MS sich erst recht daran halten sollte: https://de.wikipedia.org/wiki/Browserkrieg
Jeder User ist anders und hat andere Anforderungen an einen Browser, man kann nicht jeden User mit dem gleichen Broer zufriedenstellen. Ich nutze Chrome zum surfen wegen der guten Performance bezüglich HTML5. Zum "Hacken" nutze ich allerdings Firefox, wegen den super Addons die es dafür gibt. Außerem ist er Quelloffen und es ist schwer dort Deanonymisierungs Features einzuschmuggeln.

Hier nochwas zum Thema MS: http://www.spiegel.de/netzwelt/netzp...-a-910863.html
Klar wird Google genau das gleiche machen und wie MS Daten an die NSA weitergeben aber deshalb sollte man Quelloffene Software nehmen der man vertrauen kann wie z.B. Firefox.

[Avon]

würde Google NIEMALS Daten an Microsoft senden um deren Produkte zu verbessern

Google sendet keine Daten an Microsoft. Microsoft liest sie aus und lädt sie hoch.

Zitat von Microsoft:

Schließlich werden wir auf personenbezogene Daten zugreifen, diese offenbaren und bewahren, einschließlich privater Inhalte (wie der Inhalt Ihrer E-Mails und andere private Mitteilungen oder Dateien in privaten Ordnern), [...]

Dazu zählen natürlich auch die Daten aus den Browsern des Nutzers. Diese werden dann systematisch ausgewertet, um Edge stetisch zu verbessern und auf einem Level zu halten, das die Konkurrenz unmöglich erreichen kann. Edge-Nutzern bleibt folglich diese Totalüberwachung erspart.

[Jut4h.tm]

:-) Guter Troll, aber darauf steig ich mal nicht ein ^^

[Cystasy]