Jaunas pārlūku ievainojamības

Futeni vakar skatījāties? Ja? Un kā? 🙂

Nu labi, te būs stāsts par tēmu un iz dzīves – apvienosim patīkamo ar lietderīgo. Vakar IRCā ievz iemeta vienu it kā nekaitīgu adresi. Cik nu nekaitīga adrese var būt, ja ņem vērā, ka to piedāvā ievz. 😉 Vismaz pēc adreses un faila nosaukuma viss izskatījās daudz maz pieņemami. Pēc adreses es teiksim padomāju, ka tā varētu būt kāda privātlapa, kas raksta par Eurosport 2004 jaunumiem un tiek piedāvāta apskatei kurioza bilde ar slaveno futbolistu Beckham – http://news.em2004.da.ru/pictures/beckham.jpg (es nezinu, kas tur ir, bet ar IE to neieteiktu skatīties).

Diemžēl vai par laimi, bet ievērtēt, kas tajā lapā ir redzams, tā arī neizdevās, jo vienīgais, kas tur parādījās bija “freimi” un beigās vēl izleca dialogs ar piedāvājumu atvērt vai saglabāt kaut kādu mistisku failu “selfexec.wsz”. Izrādījās, ka visi prieki esot tikai Internet Explorer lietotājiem. Samierinājos.

Šorīt palasīju kādas labas izmaiņas ir notikušas ar Firefox 0.9. Izrādās, ka vakardienas versijā ir iekļauts arī bīstama cauruma labojums, kas darbojas Internet Explorer, Opera un Firefox pārlūkos. Kā reizi tas sakrita ar augstāk minētās adreses problēmu – freimi kuros paslēpts trojāns.

Nedaudz paložņājot pa tīklu uzgāju šo populārzinātnisko rakstu.

The flaw is in IE’s cross-domain security model, which keeps frame content from different sources separate. This means that attackers could run programs and view files using the privileges of the user running IE.

Īpaši patika šis drosmīgais teksts.

Graham Cluley, senior security consultant at Sophos, said on Monday that there are no reports so far of viruses or hackers exploiting this vulnerability; however, home users and businesses should be careful while “Microsoft feverishly puts the fix together”.

Var jau būt, ka tik tiešām uz pirmdienu exploits nebija pieejams tīklā, bet jau otrdien varēja skatīties drosmīgo beckham.jpg bildi…

Nedaudz tehniskāka informācija ar problēmas detalizētāku aprakstu ir atrodama CERT lapā.

Es nesaku, ka tagad visiem obligāti būtu jālieto kāds konkrēts pārlūks, kura nosaukumu tāpat jau visi zina, bet vienkārši ieteiktu uzmanīties, lai gan viens no CERT ieteikumiem, par to kā risināt problēmu, tieši tā arī skan.

Use a different web browser
There are a number of significant vulnerabilities in technologies relating to the IE domain/zone security model, the DHTML object model, MIME type determination, and ActiveX. It is possible to reduce exposure to these vulnerabilities by using a different web browser, especially when browsing untrusted sites. Such a decision may, however, reduce the functionality of sites that require IE-specific features such as DHTML, VBScript, and ActiveX. Note that using a different web browser will not remove IE from a Windows system, and other programs may invoke IE, the WebBrowser ActiveX control, or the HTML rendering engine (MSHTML).

Mani šajā gadījumā vakar glāba tas, ka es biju paspējis uzlikt jau Firefox 0.9, bet varēja arī nepaveikties.

47 thoughts on “Jaunas pārlūku ievainojamības

  1. IT positive

    Huuu
    Nu varu teikt tikai vienu.
    Visādu sviestu veidotāji sķa jau rēķināties ar FireFox lietotājiem.
    No vienas pusese glaimojoši, ka viņi to dara ātrāk par dažiem labiem dizaineriem

    Atbildēt
  2. kritins

    ne tikai firefox sargaa. Avant browser arri ,lai gan baazeets uz IE, neko sliktu neljaava izdariit. DAPs uzreiz novilka kaut kaadu damn.exe, kuru valjaa neveru, un tas arii viss. Atveeraas arii winamps un gribeeja muziceet.
    Opera 7.50 arii neko – tikai prasa vai ielaadeet selfexec.wsz, kuru ver valjaa ar winampu. Ugunslapsa identiski izriikojas.
    Tuuliit testeeshu ar IE.

    Atbildēt
  3. danila

    FF 08 tātad ir ievainojams? 🙁 un winamp skinus tagad nekur nedrikst taisīt vaļā un saglabāt? nu ko: berežonogo bog berežot

    Atbildēt
  4. kritins

    liela vilshanaas.Nekas graujoshs.
    Samekleeju pie Program Files sen nekustinaato IE un atveeru to lapu, bet manas ceriibas nepiepildiijaas. Novilkaas damn.exe, tas winamp skins, atveeraas winamps un tas viss . Par spiedu Yes pie jautaajiemna vai turpinaat skripta izpildi, bet nekas nenotika.
    Esmu viilies.
    Nenopietni

    Atbildēt
  5. coolynx

    kritins: Es tavā vietā tagad pārbaudītu konekcijas kā arī palaistu antivīrusu. 😉
    peecis: Tur bija rakstīts, ka jaunajā XP SP2 problēma varētu būt atrisināta.

    Atbildēt
  6. Knagis

    nu ok, atvēru pat to popup-u. Vienīgais, kas notika, atvērās ap 6 logiem ar server not found 🙂 Šitas tak nav nekas jauns – vismaz man uz IE gribēja izdarīt to pašu, ko tas iepriekšējais exploits – at iexplore.chm vai kā nu tur bija tas fails atvērt lokālo failu. Kuru jau pirmām kārtām viņam nebija izdevies downloadot.

    Atbildēt
  7. Pow

    Man patiik shitie dzjeki "atveeru ar ie un nekas nenotika". Laikam naakamreiz vinjiem tur vajag uztaisiit taadu exploitu, kas _izdraazj_ visu ko vien var. Tad saakas ar galvu domaat.

    Atbildēt
  8. pepsy

    Atveeru ar to pashu veco Firefox, un arii ar sexploureru, nekaadas reakcijas. :(. Nu neveicaas tiem Maacintosistiem ar to viirusu ietesteeshanu!

    Atbildēt
  9. koko

    Nu vienmēr ir bijuse vēlme kādam paeksperimentēt… Man agrāk arī patika visu vīrusiņus apskatīties… Vienīgais prikols ir tas, ka varu derēt, ka neviens no eksperimentētājiem iepriekš bekupu neuztaisīja 🙂 Nu tas tikai tāpē, ka pagaidām pirksti paarkāk taisni m/ :)) Nu bet gan jau kāc paņems priekšā 🙂

    Atbildēt
  10. SkadY

    Eu a es ar FireFox 8.0 novilku un palaidās winamp. 90% ka man ir vīruss. labi jāsāk updeitor vecais Norton Antivirus 2004 un jabauda vīrusi.

    Atbildēt
  11. Knagis

    Pow: tur jau tā lieta, ka ar šis exploits vispār nepalaidās. Uz IE6SP1 (winxpsp1 ar visiem patchiem) man tikai piedāvāja downloadot to wsz. Ko es atteicos darīt. Tad man atvēra IE help ar server not found erroru.

    Atbildēt
  12. Pecis

    Nu, ja reāli, tad tas slavenais vakardienas "ārā" bija ļoti strīdīgs, visu pateiktu Čehijas izlases spēlētājs, bet tā kā viņš nav objektīvs – kamera tieši virs šīs līnijas. Tā kā šādas kameras nav, žēl.
    Situācija līdzinās slavenajai Maradonas piespēlei ar roku, ka viņš teica, ka viņam piespēli ir iedevis dievs :))
    Bet spēle laba. Prieks par to milzīgs.
    <pardomas>
    Par bugu – nu var zīmēties, ka redziet SP2 nav nekā, utt. firewallji aiztur… Bet tā kā lielākā daļa dumjo juseru nelietos ne SP2, ne firewalljus, ne ko citu…Heh… Tomēr žēl, ka *liela* (ne nomācoši liela, bet tomēr) daļa uzeri domāšanu uzskata par greznību 🙂
    </pardomas>
    Friends never let friends use Internet Explorer! (c) Slashdot

    Atbildēt
  13. kritins

    Nevajag celt paniku.
    Man viss kaartiibaa – izmeegjinaaju ar visiem paarluukiem to lapu – un dziivs. Nekaadi bekapi nav vajadziigi.
    Ad-aware neko iznjemot pa pornolpaam sagraabstiitos cepuminjus neatrada, bet Norton Antivirus (apdeitots) neko neatrada. Vienkaarshi izdzeesu tos failinjus kas novilkaas un viss. Arii SR2 man nav.
    Taa ka shitaa lapa ir pavisam nenopietna.
    Pierunaa Draugu paariet uz IE – lai dziive jautraaka

    Atbildēt
  14. bljaaviens

    nja, notesteju visus tos atspiezhamos failus ar Nortonu, un brinums – jamais nevienu no tiem neuzskata par aizdomigu. drwebs saka, ka
    kritins, a tev notepads neatveeraas, kad ar IE testeji?
    a mozh tev vienkarshi nav tadas mapes c:windowssystem32

    Atbildēt
  15. Fuzzy

    Ar IE ņemot priekšā, "Add or remove programs" rādas ieinstalējies Mirc’s. Uninstalēt nevar, tikai run’ojot "msconfig" startup’ā noņemot dažus jaunus draugus, var + izdzēšot mapi kur tas viss bullshits bija (c:windows…*gļukainajāmomentāuztaisītaisfolderis*) Meine pc – clean & clear.
    Nortons un Spybot neceļ ne ausu.

    Atbildēt
  16. BlackHalt

    Slinkums nokaut sistēmu, bet ja tas ir tā, tad rezultāts droši vien neir labs.
    Varbūt varat ieteikt kādu decompile or disassemble? ar ko to selfexec.wsz aplūrēt no iekšas? 😉

    Atbildēt
  17. Nexodus

    murgs kaukāds… tiešām jāizjāj kādam kompis lai vairāk visādus sūdus nevērtu vaļā!!! bet viņu kopmis… nevajag teikt kas viss ir OK… ar laiku pamanīsi kauko. varbūt kāds hakerīc padrāzīs kompi…

    Atbildēt
  18. aamen

    line: 21
    char: 5
    error: write to file failed
    code: 0
    url: mk:@MSITStore:D:WINDOWSHelpiexplore.chm::../../../../Program%20F iles/winamp/skins/selfexec.wsz::/exploit.htm

    Atbildēt
  19. Vaards

    Kuulinks atkal izveic IE antireklaamas kampanju 😀 Paklikshkjinaaju, paskatiijos – nekaa tur atkal nav 🙂
    Ie – kaa vienmeer darbojas nevainojami, nav ievainojams un nav nepiecieshams katru otro dienu tamjaunu versiju stuteet augshaa :)!
    V.
    P.S. Sveiksim shodien Kuulinku Vaarda dienaa! Lai vinjsh daudz alu izdzer un lai vienmeer pietiek iedvesmas par brouzeriem ko jaunu samekleet & uzrakstiit ;-)!

    Atbildēt
  20. inficeetais

    man ir IE, es iegāju tai lapā… (nemaz bildi neredzēju, paarāk ilgi viņš saaka domāt) antivīruss neko neteica.. .bet kad ar Nortonu izskenēju tad atradu vīrusus iekš Temporari failiem

    Atbildēt
  21. R21vo

    mjaa trojieshi tik cepinaas ar vien jauni klaat.
    draugiem jau kaadu laicinju FireFox esmu salicis, citaadi sanaak ka ir peec paaris dienaam jaaskrien kompi labot, psc mazaismiikstais ipaarluuks…

    Atbildēt
  22. kritins

    ar visiem paziistamaakajiem paarluukiem testeeju, bet man nekaasu viirusu nav. Notepad arii valjaa neveeraas. Pieljauju ka man meeslu nebija taadeelj ka download acclerator plus to damn.exe kaa jau parasti nometa uz Desktopa un neljaava ieliist shim, kur tas gribeeja.

    Atbildēt
  23. InDOOM

    bet šis jau nav nekāds jauns trojāns. Jau nez pirms cik mēnešiem šitādi neīstie .jpg tika mētāti apkārt. Parasti tika inficētas irc programmas kā mIRC, un automātiski tika likti linki iekš čata :]

    Atbildēt
  24. Kirils

    falcon: a tas nav jpg 🙂
    ir 2vi varianti – vaj nu tas ir folderis (tad tiek izsuutiic HTTP 302 un viss notiek), vai arii tas ir texta fails, kas defineets ar html tipu un izsuuta HTTP Location un arii viss notiek.
    =)

    Atbildēt

Atbildēt uz komentāru SkadY Atcelt atbildi

Tava e-pasta adrese netiks publicēta. Obligātie lauki ir atzīmēti kā *