IE bug: lokale files gemakkelijk te lezen

Bigs schrijft dat de Bulgaarse Expert Georgi Guninski door is gegaan op de bug die wij eerder al meldden in dit nieuwsbericht. Daar ging het om gebruikers van IE 5.0 of hoger onder Windows 98.

Internet ExplorerNu is er een probleem dat alleen maar optreedt in IE 5.5, waarbij via een combinatie van ActiveX en JavaScript lokale bestanden zo gelezen en doorgestuurd kunnen worden. Natuurlijk ben ik op onderzoek uitgegaan en heb ik met ASP een pagina in elkaar geklust die een file (C:\Test.txt) in beeld opent en vervolgens via JavaScript doorsluist naar ASP, dat het bestand vervolgens laat zien (schrik trouwens niet; na de popup worden er nog 2 vensters geopend: 1x lokaal en 1x via mijn server). Ik zou bijvoorbeeld zo User.dat en System.dat vanuit Windows kunnen halen, op schijf opslaan en uiteindelijk allerlei gegevens uit het register kunnen halen.

Dit heb ik gerealiseerd met wat verstand van Java- en VBScript, de pagina van die Bulgaar en verder wat simpel redeneren...

Normally, a Web site can point to a local file on a visitor's computer and call that file up in a browser window. Under IE's security restrictions, only the visitor should be able to read it.

But in a scripting sleight of hand demonstrated by Bulgarian bug hunter Georgi Guninski, IE 5.5 lets the Web server inject a JavaScript address into the window displaying that local file--and through that scripting code read targeted files and relay them back to the Web server.

The fault lies in IE's Web Browser control, an ActiveX control that manages the sending and receiving of files. The problem is that the control is handling the JavaScript code in the security context of the visitor's computer, rather than in the Web site server that planted it.

Het volledige artikel van CNet staat hier.

Update: Te zien aan de reacties en de poll is IE 5.0 ook kwetsbaar voor deze bug.

Door Anton Tieleman

07-09-2000 • 17:51

49

Bron: CNet

Reacties (49)

49
44
28
5
0
13
Wijzig sortering
Voor de mensen die het even willen proberen:
die test.txt file moet wel meer dan 0 bytes zijn anders gaat het mis.
Inderdaad. Er wordt gecheckt of de variabele genaamd "text" niet leeg is. Anders blijven er pagina's geopend worden...

Je moet natuurlijk niet al te ingewikkeld willen doen. ;)
Auw!
5.5 ben je kwetsbaar voor deze bug
5.0 ben je kwetsbaar voor die datum/tijd email bug
Een nieuwere versie is er nog niet, dus downgraden naar 4.0?

Dit is toch van de zotte? Het is blijkbaar heel moeilijk om een programma te schrijven dat mensen nog een beetje bescherming biedt. Het is nu net zoals die ene vent zondagavond tijdens dat programma zei: "Als je een OS koopt is het net of je een huis koopt zonder ramen en deuren, je bent dus niet beveiligd"
Is het wel mogelijk om te downgraden? Ik ben eens getuige geweest van een poging om IE4 te downgraden naar IE3, maar de IE3 install wijgerde om een nieuwere versie te overschrijven.

Dat een OS verkocht wordt als gatenkaas is een kwestie van prioriteiten. Features hebben blijkbaar meer aantrekkingskracht dan veiligheid.
Net geprobeerd. Norton Personal Firewall komt met een vraag en houdt hem wel tegen. Toch leuk om te weten dat die firewall het doet.

Maar ja. als je zelf moet toelaten wat wel en niet mag kun je nog steeds in de fout gaan lijkt me. Als een of andere site er voor zorgt dat ie alleen functioneert met een of andere ActiveX control ben je wellicht toch geneigd dat toe te laten. Achter je rug om kan er dan van alles bekeken worden op je compu. Slechte zaak :(
Maar is er ook manier om dit dicht te timmeren. Met een firewall ofzo?
Een firewall helpt niet, want de data gaat gewoon door de HTTP poort (poort 80).
Die kun je technisch gezien wel dichttimmeren, maar dat heeft het praktische probleem dat je geen toegang meer hebt tot 99% van de websites.
Dus zelfs als ik @guard zo configureer dat alleen iexplorer.exe gebruik mag maken van poort 80 e.d. ?

Of heb ik de klok horen luiden maar de klepel niet gezien ?

===============
En dat op M$'s verjaardag nog wel ... tsk tsk ;)
Het is juist IE die problematisch bezig is. NIET een of ander ander programma. Een firewall helpt idd niet. Wat WEL helpt is een soort sandbox systeem waarbij je instelt dat IE alleen files mag lezen/schrijven in/naar een bepaalde directory en nergens anders. Try www.ealaddin.com/support/esafe/support.asp
Silent_nl: er zal hoogstwaarschijnlijk niks aan te doen zijn met je firewall. Uiteindelijk is't jou computer die die verbinding start, het is dus geen inkomend verkeer (er vanuit gaande dat't geen ftp-verbinding is).
Misschien dat't mogelijk is als altijd dezelfde port ofzo gebruikt wordt, door continu die port te blocken, maar ik vrees dat'r toch op een patch gewacht moet worden.

Daarnaast wilde ik nog even reageren op de persoon die de CB erbij haalde (en Homenet):
die opmerking slaat nergens op. CB heeft die opmerking allang weer teruggenomen (en die had die uitspraak ook nooit mogen doen als ze wisten waar't om ging). Daarbij moet de CB eerst maar eens zich verdiepen voordat't zich overal maar mee bemoeit..
Tub
Je kan dit proberen:

tools--> internet options--> Security --> Custom level -- En dan alle active X dingen disablen
Dan laat ie wel de lokale tekstfile zien (maar das waarschijnlijk niet zo erg) En dan loopt ie vast op de "server"pagina (en ik heb liever een crash dan dat iemand lokale files kan opvragen
Als je de activeX opties uitschakeld, krijg je el een waarschuwing, de bug wordt niet gedisabled...
De bug maakt gebruikt van active Xscripting, de server kan dus niet meer het bestandje open (IE kan het wel openen, maar die is dan alleen lokaal zichtbaar, probeer maar eens die site te bezoeken en die waarschuwing negeren, eerst krijg je het bestandje te zien, das de lokale versie (toch?) en dan zou die het bestandje naar de server moeten halen en daar openen, maar dat lukt niet)
Hmm mijn IE 5.5 onder Win2K is er ook gevoelig voor. Ik hoop dat hier snel een patch voor komt want blijkbaar is het redelijk eenvoudig te exploiteren. Ik zou niet graag mee willen maken dat iemand anders even m'n mailbox binnenhaalt (staat bij de meeste mensen in \Windows\Application Data\Microsoft\ etc.., gelukkig bij mij niet ;)). Maar ja, zodra iemand m'n register leest, daar een mooi algoritme voor schrijft weet hij natuurlijk precies waar al m'n bestanden staan.

Laat ik maar snel stoppen voor ik mensen nog op een idee breng }>
Anoniem: 11130 @Bu5887 september 2000 18:38
Ja, dat klopt, maar bij Win2k zit het in een Identities dir met een lang id nummer (zoek zelf maar waar }> ), dus dan lijkt het me niet eenvoudig om toegang tot de mail te krijgen of soms wel?...
ik heb zojuist getest met ie 5.0 en ook mijn test.txt kon gelezen worden door beide scripts :(

versie 5.00.2314.1003
IE 4.0 Version 4.72.3110.8
NT 4.0 Service Pack 4

Aansluiting via LAN op internet met firewall

Maar ook zo lek als een mandje...
Dit is weer eens niet zo mooi van Microsoft :(

Maar wat ik me nu af vraag is hoe lang het gaat duren voor die bugs zijn gepatched.... neem nou als voorbeeld HomeNet .. dat heeft de consumentenbond willen verbieden ivm de beveiligings bug. ABN zei dat ze in enkele weken het probleem zouden verhelpen. Microsoft kennende gaat dat wel langer duren. Mischien een ID voor de consumentenbond ??? :)

ps. Was dit een kado van Microsoft ??? :)
volgens mij is IE 4 (onder nt 4 ) ook vatbaar voor die bug (bij mij in ieder geval wel)
dat is niet zo fijn... als andere mensen dat kunnen
Van achter m'n NT-server met M$-proxy 2 werkt 't in ieder geval niet :).
Deze M$-patch kost je zo een paar duizend gulden :D.

Op dit item kan niet meer gereageerd worden.