Firefox Bīstama ievainojamība – UI spoof

Lasītāji man sūta norādes uz kārtējo Firefox ievainojamību.

The problem is that Mozilla and Mozilla Firefox don’t restrict websites from including arbitrary, remote XUL (XML User Interface Language) files. This can be exploited to “hijack” most of the user interface (including tool bars, SSL certificate dialogs, address bar and more), thereby controlling almost anything the user sees.

Beidzot ir pieķērušies arī Mozillas XUL “iespējām”, kas šobrīd nu jau ir apgriezušās uz otru pusi un ir uzskatāmas par trūkumiem. Gluži tāpat kā tas bija ar Microsoft ActiveX. Domāju, ka līdz šim viss bija kluss un mierīgs, jo maz kādam interesēja XUL iespējas, jo uz tā bāzes kaut ko izstrādāt nebija lielas jēgas. Šobrīd, kad Mozillas produkti ir topā, sāk līst ārā “apslēptās” jeb līdz šim noklusētās iespējas.

Šī jau ir otrā Mozillas ievainojamība, ko es ievēroju, kas tika atrasta pateicoties kādam jaunietim, kas vai nu pētīja šo tehnoloģiju, lai par to rakstītu savu bakalaura vai kādu citu darbu, vai arī vienkārši vēlējās to izmantot, lai kaut ko izstrādātu. No tā varētu izsecināt, ka šādas jaunas nepilnības varētu atrast arvien vairāk.

Problēmas būtība ir tāda, ka izmantojot XUL ir iespējams no jebkura attālināta servera, uz kuru ir nonācis apmeklētājs, palaist speciāli izveidotu skriptu, kas dublicēs pārlūka izskatu un piedāvās savas pogas un dialogu logus. Aizejot uz šo aprakstu var izmēģināt uz sava pārlūka šo nekaitīgo skriptu, lai redzētu kaut ko līdzīgu šai bildei.

Redzamajā bildē pilnīgi viss ir viltots, izņemot pašu adresi. Un bēdīgākais ir tas, ka par šo nepilnību Mozilla izstrādātāji bija informēti jau tālajā 1999.gadā, kad tika izveidots attiecīgs ieraksts Bugzillā, bet tas tika slēgts un bija pieejams tikai izstrādātājiem. Iespējams, ka tas tika atlikts uz vēlāku laiku, jo toreiz tik tiešām tas varēja nebūt tik būtiski.

Pagaidām mani šī ievainojamība neuztrauc, bet es to uzskatu par ļoti nopietnu nepilnību un tai pēc iespējas ātrāk ir jābūt novērstai. Redzēsim cik ātri tā tiks novērsta.

31 thoughts on “Firefox Bīstama ievainojamība – UI spoof

  1. Sherlock

    Izrādās ka arī "mega-browsera" izstrādātāji marinē pārlūka kļūdas un labo daudz vēlāk (nu pēc gadiem 5)
    Bet protams MS sūkā, sūkā nereāli….

    Atbildēt
  2. pyro

    blje ka var dirst bezjeegaa – neiet runa par krutumu/suukaashanu iet runa par to cik pasham galva straadaa un cik loku izliekuma lenjkis pret horizontu ir liels….

    Atbildēt
  3. koko

    Nee.. nu iespēja jau baigi labā… Gan jau, ka drīz arī šito smukumu apgriezīs… Tomēr, kamēr tas nav plaši izplatīts, es nemaz neuztraucos… Labāk būtu jāsāk uztraukties par mobilo iekārtu vīrusiem… Es jau nu negribētu, lai tārpiņš ložņātu pa manu mobu un sūtītu visiem maniem grāmatiņā esošajiem 200 purniem SMS`us!!

    Atbildēt
  4. Oct0

    Nu re mozzillām arī parādās gļuki. Pilnīgi priex 😉 Moš saaks apdirst mazāk manu mīļāko browseri IE 😉
    Jā, varbūt man arī nepatīk Microsoft politika, bet me patīk lietot viņu softu (usability ziņā vismaz – moš arī pieradums:).. Uz paarmetumiem par drošības caurumiem viņos neatbildēšu, varat nesākt
    Jebkurā gadījumā, plānoju paariet no visiem tik iemīļotā thunderbird atpakaļ uz outlook express, jo vismaz man thunderbird sux. Uz viņu paargāju experimenta kārtā, kad biju uzlicis sev gentoo linux, kuru pēc paaris nedēļām nonesu, jo sapratu, ka viņam vēl ilgi augt līdz usability, kas mani apmierinātu. iekš linuxa nebija problēmas ar thunderbird, bet iekš windowsa diezgan bieži gadās, ka viņš pamatīgi iebremzē 🙂 No saakuma domāju ka 1,5 GB maila folderis ir par lielu, patīrīju samazināju uz 200-300 MB – tāpat velkas.

    Atbildēt
  5. Delfins

    patiesham exploits straadaa. labi ka XUL nav izplatiits. no vienas puses XUL ir kuul, bet no otras puses,- nafig browserim shaada iespeeja !? lai browseris paliek browseris – atteelot HTML lapas.

    Atbildēt
  6. Muudzis

    Es vienmēr esmu teicis, ka nekādus skinus! Nu jebkurā gadijumā ne lietotāja brīvi maināmus! Un tas attiecas uz jebkuru softu. Kam tas ir vajadzīgs? Tiem, kas pērk produktus veikalā pēc iepakojuma izskata? Vispār browsera interfeisā nekas nedrikstetu tikt mainīts no lapas puses. Nu kas tās par mulkībām, ka ļauj paslēpt toolbāru? Kapec kaut kādi lapelei lai būtu tiesības aizliegt man izmantot back pogu, kas toolbārā? Tapec, ka nemāk lapu uztaisit, kas korekti strādātu tādā gadījumā? Tāpat ar iespējām manipulēt ar statusa rindu. Vai jebkurām citām izmaiņām interfeisā. Web lapai ir jādod informācija, nevis visādi jāķēmojās.

    Atbildēt
  7. Muudzis

    Nu skaidrs taču. Tas viss ir tikai priekš tā lai "develperi", kas sevi par tādiem sauc, varētu izrādīties (gan no mozillsa puses, gan no web lapu veidotāju puses)

    Atbildēt
  8. BlackHalt

    Mans mīļākais bugs.
    Nu tagad mani ar raušanu vairs no FF lietošanas neatrausiet!
    Bēt bugfiksu tā arī nekur neatradu :/

    Atbildēt
  9. Delfins

    coolynx, piekriitu ka XUL vajadziigs, bet ne kaa pamatfunkcionalitaate.
    butu jauki ja jams ietu kaa extension, kas handlo .xul pieprasijumus.
    savadak browseris partop par kombainu.

    Atbildēt
  10. taku

    Žēl ka 20040801 (pēdējā, kas ir pieejama logiem) versijā tas vēl nav izlabots, tātad nevar teikt, ka FF šoreiz baisi ātri reaģētu (salīdzinot, iepriekšējais tika aizlāpīts dažu h laikā)

    Atbildēt
  11. es no PSRS

    tanu gan panika! (nav runa par linux bet win juuzeriem)
    Tak logiskaa domaashana un statistika jaanjem ir un kas izraadaas?
    Izraadaas ka tos alternetiivos brauzerus izmanto 5%(kljuudos?) un tad arii tikai advanceeto….
    Taatad kritiis tikai advanceetie(itkaa) un to sa-ap-klabinaatie juuseri…
    Pac esmu to uzlicis to kaa "ja nu vairs nekas neietun sys veel shodien no ghost nepaarmetiishu jo nav laika" 🙂
    Nu nepatik man Mozilla ja es bradaaju peec krakiem, keyiem, www.yes.lv utt.. traumee man tie daudzie miinusi un nepilniibas lapu apluukoshana…..
    Ok.. tagad saaksies + un – saliidzinaajumCiinja… 🙂

    Atbildēt
  12. kurmizzio

    Sen jau i saacies! 😀 Tikai peec krekiem jau nu gan eertaak ar ff liist. Esmu aizmirsis kaadi izstaas pupulogi 🙂 Nuu, a ciitaadaak – taksh poohuj!

    Atbildēt
  13. ZBH

    Devil_Inside : a kaapeec tu noraav teikumam beigs "–we don’t see that as the case"? kaads veel ne taa padomaas, tobish populaar padomaas.

    Atbildēt
  14. evil_v

    Par tiem $500, /. bija jauki komenti – kamer M$ piedava $$$ par truukumu lauzeeju tvarstishanu, Mozzila – $ par trukumu likvideshanu…

    Atbildēt
  15. menca

    man te biki lāms jautajums browseru sakarā:
    vai ir tāds utilis/toolbar mozillām/ie lai slēgatu proxshus? es fixi parakos gan te podā, gan webaa, bet čota nekrita acīs nekas tāds. maniju tik paaris kas slēdz jau esošos iebūvetos browsera setingus – "proxy", "no proxy" etc
    bet vai eksistē tāds variants, kur varetu ērti slegaties starp vairākiem custom definētajiem?

    Atbildēt
  16. bx

    Eu, coolynx!
    Rekur atradu vienu labu citātu vienā lapā:
    * Note : This site is designed to be viewed with a browser that upholds internet standards, such as Mozilla Firefox, not Microsoft Internet Explorer, which is both ethically and technically an obselete dinosaur.

    Atbildēt
  17. Menca

    Aha, thx. Kaadreiz jau vaik lame modi iemeegjinaat 😉
    bet vispaar, clx, pods sanaak viens no retajiem resursiem daudzmaz lietojams arii no mobilajiem devaisiem

    Atbildēt

Atbildēt uz komentāru BlackHalt Atcelt atbildi

Tava e-pasta adrese netiks publicēta. Obligātie lauki ir atzīmēti kā *