I znów wracamy do tematu dziur w aplikacjach, chyba nigdy nie przestaniemy o tym pisać, a przynajmniej do czasu, do kiedy programiście nie przestaną pisać porządnie aplikacji. Kto tym razem zbłaźnił się na arenie międzynarodowej? Był był Apple, Google, jak zawsze Windows, który jest niezaprzeczalnym mistrzem w tej dziedzinie (no co, w czymś muszą być najlepsi). Tym razem jednak niemałej “radości” dostarczyli nam programiści Mozilli. Na jednej ze stron WWW, która znajduje się na rosyjskim serwerze (a przynajmniej tak wskazuje whois) pojawiła się informacja o exploicie do Firefoxa – żeby nie było perełka jest, jak najbardziej aktywna. Co tym razem poległo? A prawda jest taka, że jedna z bardziej umilających userom życie wtyczka. Chodzi o widget do auto uruchamiana plików PDF z poziomu przeglądarki. Co jest niejako dziwne – dziura dotyczy zarówno aplikacji działającej pod systemem Windows, jak i wersji Linuxowej. Zapewne nie ucieszy, to ani jednych użytkowników, ani drugich, aczkolwiek ci od pingwinka będą bardziej zdziwieni.
Jak wygląda sam atak?
Udało nam się do tego dotrzeć i nie jest on zbyt wyszukany, ale może “troszkę” namieszać. Za pomocą pliku PDF, który jest otwierany wstrzykiwany jest kod JavaScript. Co on właściwie robi? Obchodzi zabezpieczenia znane jako Same Origin Policy i pozwala na pobranie plików z naszego lokalnego dysku. Coś czuje, ze teraz właśnie się przestraszyliście, bo przecież lista plików, jakie można pobrać za pomocą takiego exploita jest ogromna i wcale nie mam na myśli tutaj Waszych kompromitujących zdjęć, które zapewne nie zadowolą hackerów. Pomyślmy o takim ataku w sposób bardziej globalny, niż patrząc na czubek własnego hosta. Korzystamy z SSH, FTP i innego typu połączeń. Co w takim razie można wykraść:
- klucze SSH i konfigurację SSH
- zaszyfrowane hasła
- historię komend i skrypty shellowe
- pliki zawierające “pass” lub “access” w nazwie
- konfigurację klietów FTP (m.in. Filezilli)
- pliki związane z subversion, git
- repozytoria kodu (jeżeli mówimy o programistach)
Co powinno także zamartwić użytkowników? Atak niestety nie zostawia absolutnie żadnych śladów w systemie ofiary. Czyli nic nowego. Nawet jeżeli wpadło się, nie jest się tego świadomym. Mozilla informuje jednak, że polecam aktualizacja. Najnowsza wersja Firefox oznaczona numerkiem 39.0.3 zawiera patcha, który łata problem. Przynajmniej jedni wypuścili patcha dość szybko.
Propozycja od nas: zmieńcie hasła do wszystkich zasobów: SSH, FTP, SVN, GIT – tak na wszelki wypadek.
Na koniec chcielibyśmy pocieszyć wielbicieli i obrońców IE – jak widać nie tylko IE od dnia dzisiejszego będzie nosił niechlubny tytuł przeglądarki od przeglądania naszego komputera ze świata- mamy godnego następcę 🙂 czego Mozilli oczywiście z całego serca NIE GRATULUJEMY :->