Nieuws
image

Firefox kwetsbaar voor Windows ANI exploit

woensdag 4 april 2007, 14:51 door Redactie, 8 reacties

Ook Firefox is kwetsbaar voor het animated cursor lek in Windows, zo waarschuwt beveiligingsexpert Alexander Sotirov, die het lek vorig jaar december ontdekte en aan Microsoft meldde. Sotirov heeft gedemonstreerd hoe hij via de exploit ook PC's die Firefox gebruiken kan overnemen. "Het blijkt dat Firefox hetzelfde kwetsbare Windows onderdeel gebruikt tijdens het verwerken van .ani bestanden, die dan op een soortgelijke manier als in Internet Explorer misbruikt kunnen worden".

De exploit die de expert al in december ontwikkelde, werkt zowel op Internet Explorer 7 als Firefox 2.0 op Windows Vista. Volgens Symantec is de browser van Mozilla niet kwetsbaar, maar dat klopt volgens Sotirov niet. "De reden voor de verwarring over Firefox is dat een werkende exploit nog niet publiekelijk is geworden. Aangezien er nog geen aanvallen in het wild zijn die tegen Firefox werken, is het veiliger. Mensen moeten wel beseffen dat de bad guys uiteindelijk een manier vinden om Firefox wel te exploiten".

Op de Full-Disclosure mailinglist laat Sotirov verder weten dat er geen lek zit in de broncode van Firefox, maar dat de browser een Windows API functie gebruikt die de kwetsbare code in USER32.DLL aanroept. Het installeren van de MS07-017 patch beschermt echter ook Firefox.

Aangezien Mozilla het lek niet kan dichten, is dit de enige oplossing voor gebruikers. Wel raadt Sotirov Mozilla aan om het gebruik van de Windows API te beperken, zodat ze ook bij het volgende Windows lek geen gevaar lopen. Aangezien de patch net uit is, zal de beveiligingspexerts de details over de Firefox ANI exploit nog niet verstrekken.

Reacties (8)
04-04-2007, 15:10 door SirDice
"Het blijkt dat Firefox hetzelfde kwetsbare Windows onderdeel gebruikt
Ergo, Firefox is indirect kwetsbaar. Waarschijnlijk zijn er wel meer programma's die gebruik maken van dit onderdeel. Deze zijn dus ook allemaal kwetsbaar.
Het installeren van de MS07-017 patch beschermt echter ook Firefox.
Echter?
Aangezien Mozilla het lek niet kan dichten, is dit de enige oplossing voor gebruikers.
Het lek zit ook niet in Firefox dus waarom zouden zij een lek moeten dichten wat niet in hun software zit?!?!?

Een wasmachine fabrikant is toch ook niet verantwoordelijk als er voor de kraan een lek zit?

Wel raadt Sotirov Mozilla aan om het gebruik van de Windows API te beperken, zodat ze ook bij het volgende Windows lek geen gevaar lopen.
Pfff... Nee, da's slim.. Vooral niet de API's gebruiken.. Als iedereen z'n eigen functies gaat definiëren is het eind helemaal zoek.. Als je dan 3 programma's hebt die dezelfde functie gebruiken heb je 3 patches nodig.. Als deze 3 programma's dezelfde API gebruiken maar 1.
04-04-2007, 16:14 door Skizmo
Wel raadt Sotirov Mozilla aan om het gebruik van de
Windows API te beperken, zodat ze ook bij het volgende
Windows lek geen gevaar lopen.
Tunnelvisie noemt men zoiets
04-04-2007, 18:52 door Bitwiper
Door SirDice op op woensdag 04 april 2007 15:10
Wel raadt Sotirov Mozilla aan om het gebruik van de Windows API te beperken, zodat ze ook bij het volgende Windows lek geen gevaar lopen.
Pfff... Nee, da's slim.. Vooral niet de API's gebruiken.. Als iedereen z'n eigen functies gaat definiëren is het eind helemaal zoek.. Als je dan 3 programma's hebt die dezelfde functie gebruiken heb je 3 patches nodig.. Als deze 3 programma's dezelfde API gebruiken maar 1.
Dat is op zich een goed argument. In augustus 2006 bleek er een fout in de o.a. door Firefox gebruikte OpenSSL routines te zitten, Microsoft's SSL implementatie bleek toen okay.

Maar het kan ook zo zijn dat Sotirov bedoelt dat sommige functionaliteit beter helemaal weggelaten kan worden; het wijzigen van de cursor (hiermee wordt de "muispijl" bedoeld) zou best eens een security issue kunnen zijn (denk aan click-coordinaten, vorm, geheel verstoppen terwijl elders op de pagina een nep-muispijl zichtbaar is, fixed of javascript-controlled etc).

Ook is Firefox een multi-platform browser, en door functionaliteit in Firefox zelf op te nemen kan wellicht een betere consistentie worden gerealiseerd. Bovendien gaat het daarbij niet om oeroude Win3.x GDI code (geschreven voor de tijd dat de webbrowser [url=http://en.wikipedia.org/wiki/Mosaic_(web_browser)]Mosaic[/url] heette en, op virussen na, nog helemaal niemand bij Wintel aan security dacht), maar om code die (hopelijk) met internet exposure in mind wordt geschreven. Dat geeft mij toch een veiliger gevoel.

Ten slotte heeft het gebruik van verschillende implementaties tot gevolg dat je minder single points of failure hebt; malware schrijvers zijn verzot op uniformiteit.

Update 19:00: augustus 2007 naar 2006
04-04-2007, 22:50 door Bitwiper
Aanvulling op mijn bovenstaande bijdrage: [url=http://lists.grok.org.uk/pipermail/full-disclosure/2007-April/053446.html]volgens Alexander Sotirov[/url] ondersteunt Firefox geen ANI files voor cursors, maar is er sprake van een andere route naar de defecte code in user32.dll.

Daarna [url=http://lists.grok.org.uk/pipermail/full-disclosure/2007-April/053472.html]heeft Peter Ferrie bekendgemaakt[/url] dat Firefox via icon files (en misschien nog wel via andere methodes) de kwetsbare code in user32.dll kan aanroepen.

Dit betekent dat Firefox users niet safe meer zijn indien hun computer ongepatched is. Of er exploits in het wild voor zullen verschijnen weet ik niet, maar binnen enkele dagen een PoC zou me niet verbazen.
05-04-2007, 02:11 door Anoniem
Door SirDice
"Het blijkt dat Firefox hetzelfde kwetsbare
Windows onderdeel gebruikt
Ergo, Firefox is indirect kwetsbaar. Waarschijnlijk zijn er
wel meer programma's die gebruik maken van dit onderdeel.
Deze zijn dus ook allemaal kwetsbaar.
Het installeren van de MS07-017 patch beschermt
echter ook Firefox.
Echter?
Aangezien Mozilla het lek niet kan dichten, is dit de
enige oplossing voor gebruikers.
Het lek zit ook niet in Firefox dus waarom zouden zij een
lek moeten dichten wat niet in hun software zit?!?!?

Een wasmachine fabrikant is toch ook niet verantwoordelijk
als er voor de kraan een lek zit?

Wel raadt Sotirov Mozilla aan om het gebruik van de
Windows API te beperken, zodat ze ook bij het volgende
Windows lek geen gevaar lopen.
Pfff... Nee, da's slim.. Vooral niet de API's gebruiken..
Als iedereen z'n eigen functies gaat definiëren is het eind
helemaal zoek.. Als je dan 3 programma's hebt die dezelfde
functie gebruiken heb je 3 patches nodig.. Als deze 3
programma's dezelfde API gebruiken maar 1.
Nee de drie api's bieden dezelfde functionaliteit maar zijn
waarschijnlijk anders geschreven. Dus de exploit werkt
misschien niet op alledrie. Dat betekent dat je sommige
programma's wel veilig kan blijven gebruiken en andere pas
nadat de api's gepatched zijn.
05-04-2007, 09:40 door koekblik
Minder de Windows API gebruiken is heel makkelijk - stop met
het gebruik van Windows en je bent een stuk veiliger!
05-04-2007, 17:05 door Anoniem
Wat zou ik graag Linux als marktleider zien, dan zullen de hackers ed zich
daarop concentreren en je zal zien, het zal hopeloos lek blijken te zijn :)
05-04-2007, 17:32 door SirDice
Door Anoniem
Door SirDice
"Het blijkt dat Firefox hetzelfde kwetsbare Windows onderdeel gebruikt
Ergo, Firefox is indirect kwetsbaar. Waarschijnlijk zijn er wel meer programma's die gebruik maken van dit onderdeel. Deze zijn dus ook allemaal kwetsbaar.

Het installeren van de MS07-017 patch beschermt echter ook Firefox.
Echter?
Aangezien Mozilla het lek niet kan dichten, is dit de enige oplossing voor gebruikers.
Het lek zit ook niet in Firefox dus waarom zouden zij een lek moeten dichten wat niet in hun software zit?!?!?
Een wasmachine fabrikant is toch ook niet verantwoordelijk als er voor de kraan een lek zit?

Wel raadt Sotirov Mozilla aan om het gebruik van de Windows API te beperken, zodat ze ook bij het volgende Windows lek geen gevaar lopen.
Pfff... Nee, da's slim.. Vooral niet de API's gebruiken.. Als iedereen z'n eigen functies gaat definiëren is het eind helemaal zoek.. Als je dan 3 programma's hebt die dezelfde functie gebruiken heb je 3 patches nodig.. Als deze 3
programma's dezelfde API gebruiken maar 1.
Nee de drie api's bieden dezelfde functionaliteit maar zijn waarschijnlijk anders geschreven. Dus de exploit werkt misschien niet op alledrie. Dat betekent dat je sommige programma's wel veilig kan blijven gebruiken en andere pas nadat de api's gepatched zijn.
Ja, en van 1 fabrikant krijg je helemaal geen reactie, van een andere "we zijn niet lek" (terwijl ze dat toch zijn alleen de PoC werkte toevallig niet) en de derde laat maanden op zich wachten... Doe mij dan maar 1 patch die gelijk alles oplost.

Het hele doel van API's is juist om een wildgroei aan eigen implementaties tegen te gaan. In de huidige situatie is de DLL hell soms al niet te overzien. Laat staan als iedereen z'n eigen "user32" gaat implementeren.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search