Journal Vulnérabilité critique dans Mozilla Firefox,

Posté par  .
Étiquettes :
0
8
mai
2005
Une vulnérabilité critique a été identifiée dans Mozilla Firefox, elle pourrait être exploitée par des attaquants distants afin d'exécuter des commandes arbitraires. Le problème résulte d'une erreur présente au niveau de la procédure de gestion des tags "IFRAME" qui ne filtre pas correctement un paramètre "src" spécialement conçu, ce qui pourrait être exploité par des attaquants distants afin de compromettre un système vulnérable, via une page web ou un email contenant du code javascript malicieux.

Note : Aucun correctif de sécurité n'est disponible pour cette vulnérabilité

solution :
Désactivez JavaScript ou désactivez l'option "Permettre aux sites web d'installer des logiciels" [dans Outils - Préferences - Fonctionnalités Web].

http://www.frsirt.com/bulletins/1192(...)

  • # Commentaire supprimé

    Posté par  . Évalué à 7.

    Ce commentaire a été supprimé par l’équipe de modération.

    • [^] # Re: Vulnérabilité critique dans Mozilla Firefox

      Posté par  . Évalué à 4.

      L'exploit donné est celui publié sur bugtraq hier soir, ce n'est pas le seul qui existe et surment pas le meilleur ( a mon avis le code est volontairement brouillon). Donc cette faille touche aussi les autres systéme que windows, et faire autre chose que DL un fichier.

      • [^] # Commentaire supprimé

        Posté par  . Évalué à 6.

        Ce commentaire a été supprimé par l’équipe de modération.

        • [^] # Re: Vulnérabilité critique dans Mozilla Firefox

          Posté par  . Évalué à 3.

          Une bonne occasion de rappeler, exemple à l'appui, qu'il ne faut JAMAIS surfer en root.

          • [^] # Commentaire supprimé

            Posté par  . Évalué à 4.

            Ce commentaire a été supprimé par l’équipe de modération.

            • [^] # Re: Vulnérabilité critique dans Mozilla Firefox

              Posté par  . Évalué à 3.

              Celui qui travaille en root sur sa machine indique implicitement qu'il en est l'unique utilisateur. En tant que machine mono-utilisateur, le fait de travailler en root ou en user ne change pratiquement rien puisque tous les documents important à l'utilisateur sont sur son compte donc pourraient être corrompus ou effacé par un virus/vers/pirate. De plus, depuis un compte utilisateur il n'y a pas de restriction spéciale (en général) qui empêcheraient le vers/virus/pirate de se propager plus loin.

              De plus si un pirate arrive à être dans le compte utilisateur de quelqu'un qui passe en root en utilisant 'su' ou des programmes similaires il est généralement plus que facile de pièger l'utilisateur et de devenir root.

              Ce qui protège surtout les linuxiens de ce genre de problèmes c'est qu'ils sont beaucoup plus formés aux soucis de sécurité que l'utilisateur lambda.

              Mais bon, à part ça je ne dis pas qu'il s'agit d'une bonne habitude de se logguer en root car un jour ou l'autre on est plus chez soi tout seul sur son pc...

              • [^] # Re: Vulnérabilité critique dans Mozilla Firefox

                Posté par  (site web personnel, Mastodon) . Évalué à 10.

                il y a plusieurs choses :

                1) Passer d'un compte utilisateur à root, ce n'est pas très difficile pour un pirate expérimenté. Mais ça l'est beaucoup plus pour un programme automatique !
                En étant root, on peut exploiter de suite toute la machine ! En étant utilisateur, il faut intercepter les droits root ! Et ce n'est pas évident, surtout si l'utilisateur n'utilise pas su ou sudo parce qu'il utilise son PC pour faire du traitement de texte.

                2) Sans le compte root, le virus est plus limité : pas de possibilité d'ouvrir les ports en dessous de 1024, de sniffer l'interface réseau, d'accéder au fichier de passwd, de changer la config d'un programme, de remplacer un programme par un autre !
                Le truc à utiliser par le pirate serait de faire un alias dans la config bash de l'utilisateur. Mais si l'utilisateur n'utilise pas bash ? De nouveau, c'est très facile au cas par cas, mais très dur à utiliser.

                Enfin, on est d'accord, cela ne protège pas d'un rm -rf ~, ce qui serait le plus embêtant pour un utilisateur standard. Remarquons qu'en entreprise, c'est surtout les deux points que je viens de citer les plus dangeureux car la confidentialité serait compromise.
                Cela protègé aussi de vers du type "Sasser"

                Mais :

                3) Admettons que le virus puisse lancer un rm -rf ~. Le disque lui reste intact. Ce qui signifie qu'un backup régulier fait en dehors de $HOME ne serait pas atteint par un virus non-root !! j'avoue que monsieur tout le monde fait rarement ça.

                4) Les permissions. Quand tu télécharge un fichier, il n'est jamais exécutable.
                Donc pour avoir un virus sous Linux, il faut exécuter une action pour le rendre exécutable. Cela signifie qu'il faut **toujours** une action humaine pour rendre un nouveau fichier exécutable.
                Le seul contournement serait de prendre le contrôle d'un programme déjà lancé


                5) Les utilisateurs newbies de Linux ne sont pas plus au fait de la sécurité que les windowsiens. Mais simplement, sous Linux, on a pas de programmes qui s'amuse à exécuter automatiquement des trucs ! Un client mail qui exécute automatiquement certains attach, on en voit pas sous Linux ;-)


                6) La variété : ce qui a tué windows c'est son homogénéité ! Tout le monde utilise IE+OE+MSOffice.
                Donc une faille est découverte, tout le monde est dedans...
                Sous Linux, chaque machine est différente. Une faille dans Evolution, par exemple, serait fortement limitée car on peut imaginer que tous les utilisateurs d'Evo ne sont pas connectés entre eux et que, à un moment ou un autre, il faudra passer par Thunderbird, Kmail, mutt, pine, ....
                Regarde cette faile de Firefox. Le gars qui veut l'utiliser, il doit prévoir : si le visiteur est sous Linux, Windows, Mac, Solaris ? Mon binaire, je le compile en x86 ? 64bit ? ppc ? etc...
                Est-ce que Epiphany, Galeon, Mozilla sont affectés ? Et sinon, il reste Opera ou Konqueror !
                La variété est une arme de défense énorme !!! (il suffit de voir la variété de la vie sur notre planète pour comprendre. Et pourtant, tous habitent et ont été créés pour la même planête !)

                Mes livres CC By-SA : https://ploum.net/livres.html

                • [^] # Re: Vulnérabilité critique dans Mozilla Firefox

                  Posté par  . Évalué à 3.

                  2) de changer la config d'un programme, de remplacer un programme par un autre !
                  Le truc à utiliser par le pirate serait de faire un alias dans la config bash de l'utilisateur. Mais si l'utilisateur n'utilise pas bash ? De nouveau, c'est très facile au cas par cas, mais très dur à utiliser.
                  on peux modifier la config d'un programe dans les fichiers de config utilisateur.

                  Pour forcer un binaire y a plus simple que les alias : tu change la variable PATH et ca marchera partout.


                  Le gars qui veut l'utiliser, il doit prévoir : si le visiteur est sous Linux, Windows, Mac, Solaris ? Mon binaire, je le compile en x86 ? 64bit ? ppc ? etc...
                  Pourquoi forcement un binaire, on peut faire deja tres mal avec un script sh, perl ou interpreteur windows...


                  Sinon je suis tout a fait d'accord que la diversite c'est un moyen de defense, mais y a toujours des especes predominates plus suceptible que d'autre...

                • [^] # Re: Vulnérabilité critique dans Mozilla Firefox

                  Posté par  (site web personnel) . Évalué à 2.

                  6) La variété : ce qui a tué windows c'est son homogénéité ! Tout le monde utilise IE+OE+MSOffice.
                  Et c'est la variété de Linux qui limite l'expansion de Linux, est-ce mieux?
                  Démonstration : quand un newbee a un problème, il appelle un copain, qui connait le domaine, et hop le dépanne. Avec Linux il faut trouver un ami qui a telle distrib, car chaque distrib est differente.
                  Bref, ce que tu trouves un inconvénient de Windows ne serait-il pas plutot sa force?

                  • [^] # Re: Vulnérabilité critique dans Mozilla Firefox

                    Posté par  (site web personnel) . Évalué à 3.

                    Il existe des gens suffisemment compétents pour s'en sortir avec à peu près n'importe quelle distrib hein...

                    En général, c'est plutôt ceux qui tournent sur des distribs sans outils de conf-qui-font-tout d'ailleurs, comme Slackware, Gentoo, LFS ou Debian.

                    • [^] # Re: Vulnérabilité critique dans Mozilla Firefox

                      Posté par  (site web personnel) . Évalué à 2.

                      Mouais m'enfin quand tu dois bricoler une distro qui fait tout toute seule (au hasard la mdk) tu as beau connaitre assez bien les mécanismes unix, tu es un peu dans le caca quand même.
                      Tout ce que tu peux faire rapidement c'est une bidouille de goret pas du tout intégrée à la distro donc inmaintenable.
                      L'avantage, c'est qu'on a toujours au moins une solution de goret :)

                • [^] # Re: Vulnérabilité critique dans Mozilla Firefox

                  Posté par  (Mastodon) . Évalué à 1.

                  4) Les permissions. Quand tu télécharge un fichier, il n'est jamais exécutable.
                  Donc pour avoir un virus sous Linux, il faut exécuter une action pour le rendre exécutable. Cela signifie qu'il faut **toujours** une action humaine pour rendre un nouveau fichier exécutable.
                  Le seul contournement serait de prendre le contrôle d'un programme déjà lancé

                  Pas vraiment : tu télécharges un script shell et tu fais "bash script", ou pareil en perl, ou python, en plus comme c'est pas binaire c'est cool ça va marcher de la même manière sous linux ppc, ou alpha, ou amiga...
                  Mieux encore ça risque de tourner à l'identique sous BSD ! Voire MacOS X, ou même Hurd, ou Solaris, ou...

                  Bref, on n'est pas vraiment à l'abris hein...

                  Yth.

                  • [^] # Re: Vulnérabilité critique dans Mozilla Firefox

                    Posté par  . Évalué à 5.

                    meme un binaire n'a pas besoin des droits d'excecution pour etre lance :


                    $ ls -l /tmp/ls
                    -rw-r--r-- 1 toto toto 75948 2005-05-09 13:49 /tmp/ls
                    $ /lib/ld-linux.so.2 /tmp/ls /
                    bin dev initrd lib media proc srv usr vmlinuz.old
                    boot etc initrd.img lib64 mnt root sys var
                    cdrom home initrd.img.old lost+found opt sbin tmp vmlinuz

                    magique...

  • # "Permettre aux sites web d'installer des logiciels"

    Posté par  (site web personnel) . Évalué à 4.

    Dans la fenêtre des préférences, à l'option "Permettre aux sites web d'installer des logiciels", c'est coché mais dans la liste des "Sites autorisés" il n'y a que update.mozilla.org.
    Je n'ai pas changé quoi que ce soit dans cette option, donc je pense que c'est le réglage par défaut. Est-ce que je suis donc protégé de cette vulnérabilité (ainsi que tous ceux qui n'ont pas changé le réglage par défaut de cette option) ?

  • # Pas "malicieux"

    Posté par  . Évalué à 9.

    Pitié cessons d'utiliser malicieux pour traduire l'adjectif anglais malicious, lequel se traduirait plutôt par pernicieux ou malfaisant...

    • [^] # Re: Pas "malicieux"

      Posté par  (site web personnel) . Évalué à 4.

      Laisse tomber. Tu vas encore te prendre te prendre une bonne vieille définition de dictionnaire dans la gueule. De préférence une définition de dico totalement inconnu de l'informaticien moyen, mais qui va lui permettre après coup de se justifier. Avant, il utilisait le mot par fainéantise de traduction, après, par pédanterie... C'est infernal.

      • [^] # Re: Pas "malicieux"

        Posté par  . Évalué à -2.

        C'est marrant comme tu défends ton ignorance. Avant de donner des leçons aux autres, vérifie un peu.

      • [^] # Re: Pas "malicieux"

        Posté par  . Évalué à 6.

        D'ailleurs, puisque tu attends la définition :

        "MALICIEUX, EUSE. adj. Qui est porté à nuire, à mal faire."

        • [^] # Re: Pas "malicieux"

          Posté par  (site web personnel) . Évalué à 3.

          "MALICIEUX, EUSE. adj. Qui est porté à nuire, à mal faire."

          On pourrait avoir une référence ? Parce que sur http://atilf.atilf.fr(...) je trouve seulement :
          MALICIEUX, -EUSE, adj.
          A. Vieilli. Qui est habité des forces insidieuses du mal. (...)
          B. 1. Qui a un penchant à se jouer, à se moquer d'autrui (...)
          2. Qui dénote ce penchant.

          Donc un emploi (vieilli) qui se rapproche (un peu) de la définition donnée, et un autre (a priori commun) qui n'a rien à voir. Après, c'est vrai que ce n'est pas un dictionnaire d'informaticiens ;-)

        • [^] # Re: Pas "malicieux"

          Posté par  (site web personnel) . Évalué à 1.

          Merci, Maître Capello qui sait tout, et même faire de la belle édition de texte. Je sais parfaitement d'où vient le mot malicieux. C'est même en référence au Malin que j'avais mis le mot infernal à la fait de mon message. Et ici, on peut tout à fait parler de logiciel malicieux, même si une fois de plus, c'est une traduction littérale, presque de visu, de l'anglais, en oubliant la richesse des autres mots.
          Je suis juste énervé par les tics de langage de l'informatique, justifiés après coup, c'est tout.

      • [^] # Re: Pas "malicieux"

        Posté par  . Évalué à 2.

        Ben oui, faut pas oublier que les transferts de mots d'une langue à l'autre, ca varie selon les modes et les époques, et que cette "traduction paresseuse", d'autres l'ont peut être fait avant, et dans l'autre sens.

    • [^] # Re: Pas "malicieux"

      Posté par  . Évalué à 3.

      Il faut engueuler les gens de chez FrSIRT qui ont redigé l'alerte a ce moment la.

      http://www.frsirt.com/bulletins/1192(...)

    • [^] # Commentaire supprimé

      Posté par  . Évalué à 4.

      Ce commentaire a été supprimé par l’équipe de modération.

  • # vulnérabilité

    Posté par  . Évalué à -7.

    >ce qui pourrait être exploité par des attaquants distants afin de compromettre un système vulnérable

    moi je lis "système vulnérable", à mon avis cela concerne surtout ceux qui sont encore sous windoze, alors bon, je ne me fais pas trop de soucis.

    Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it

    • [^] # Re: vulnérabilité

      Posté par  . Évalué à 0.

      apparemment j'ai froissé les utilisateurs de firefox sous windows...

      ...ou alors ceux qui ne savent pas qu'en ne se connectant pas en root et en navigant sous linux on ne risque rien, jusqu'à preuve du contraire, et malgré des "alertes de sécurité" que cela soit avec firefox, konqueror, opera, ou même internet explorer émulé avec wine. (merci, j'ai configuré mes iptables)

      Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it

      • [^] # Re: vulnérabilité

        Posté par  . Évalué à 2.

        Tu as vite des cours de sécurité à prendre.

        Preuve que tu as tort :
        Je prend la dernière faille. Je programme un exploit pour obtenir un shell avec ton compte user. Par exemple, il me suffirait de demander à mon exploit d'ouvrir une connexion tcp sur le port 80 d'une machine que je contrôle, comme ça ton parefeu n'y verra que du feu. A partir du moment où j'ai un shell, si je suis un pirate expérimenté et que tu n'es pas un expert en sécurité, il n'est pas difficile d'obtenir les privilèges root, que ce soit par une autre faille, ou une mauvaise configuration de ton système.

        Evidemment, je ne pense pas que tu aies des ennemis qui t'en veulent personnellement à ce point. Mais il est curieux de constater que les gens se croient en sécurité derrière un pare-feu.

      • [^] # Re: vulnérabilité

        Posté par  . Évalué à -1.

        apparemment j'ai froissé les utilisateurs de firefox sous windows...

        En fait tu as surtout froissé ceux qui aiment lire des discussions sans commentaires inutiles.

        Tu comprends bien que si tout le monde ici utilisait les balises 'mavie' voire 'troll' à outrance, linuxfr tournerait rapidement à la sauce clubic, où il est impossible de se concentrer sur le fond de la discussion tellement les commentaires irritants sont légion.

        J'en profite pour rendre un petit hommage à ce système de notation, qui soulage admirablement les fonctions "check_troll" et "keep_cool" de notre cerveau..

        Pourvu que ça dure!

  • # Aucun fix disponible ?

    Posté par  (site web personnel) . Évalué à 2.

    Quel est l'interet de diffuser une info sur une faille de securite si aucun fix n'est disponible ? Quand on decouvre une faille, il est quand meme classique d'informer d'abord les devs, de leur laisser un temps raisonnable pour sortir un correctif (une semaine) avant d'en faire grand bruit.

  • # question 0day

    Posté par  . Évalué à 1.

    Pourquoi appelle t-on celà un "zero-day" (0day) ?
    est-ce aprceque c'est tout neuf (du jour, zero day) ?

    merci.

    • [^] # Commentaire supprimé

      Posté par  . Évalué à 4.

      Ce commentaire a été supprimé par l’équipe de modération.

    • [^] # Re: question 0day

      Posté par  . Évalué à 3.

      Le 0 Day correspond au nombre de jour depuis la divulgation de la faille. Un 0 Day Exploit est donc logiquement un exploit qui correspond a une faille inconnue, non signalé ou divulgué depuis moins de 24h. L'impacte d'un exploit dépend principalement de la date de divulgation de sa faille on leur attache une chronologie. Donc les 0 Day sont les plus intéressant pour un cracker.

      Récament il y a eux on a vue apparetre des concepts comme les -1 Day exploit, dut fait qu'il existe de plus en plus de liste ou de groupe privés ou fermés de divulgation entre les professionnels/industriels de la sécurité informatique, un -1 deviendrait donc un exploit non divulgué, un 0 Day un exploit a divulgation très restreinte et un donc l'exploit ne serait plus un 0 Day quand il arrive sur bugtraq ou autre, mais bon c'est assez rare comme dénomination et assez stupide un exploit est connue ou non.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.