Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 87 reacties
Bron: SANS

SANS meldt dat er een Proof of concept voor een reeds bekende bug in Firefox 1.5.0.3 is opgedoken. De exploit genereert image-tags met een alternatieve protocol-link. Hierdoor wordt bijvoorbeeld bij een mailto:-link het lokale mailprogramma geopend en wanneer er te veel mailclients worden geopend, onstaat het effect van een DoS-aanval. Een mogelijke workaround voor dit specifieke proof of concept is het uitschakelen van het automatisch opstarten van het emailprogramma vanuit Firefox. Hiertoe volstaat het de waarde 'network.protocol-handler.warn-external.mailto' uit het 'about:config'-scherm op 'true' te zetten. Deze instelling zorgt ervoor dat Firefox eerst vraagt of het emailprogramma gestart moet worden wanneer een mailto-link wordt tegengekomen. In het geval van de exploit betekent dit dat het systeem wel gewoon gebruikt kan worden. Nadeel is dat de gebruiker talloze dialoogvensters moet wegklikken. Andere mogelijkheden zijn het uitschakelen van javascript of het uitschakelen van de mailto-link, maar deze workarounds hebben ook meer bijwerkingen. Tweakers die de drang niet kunnen weerstaan om te testen of hun Firefox-browser ook gevoelig is voor de bug, kunnen via een Securityview-pagina een link bezoeken die honderd emailvensters probeert te openen.

Proof of concept voor misbruik Firefox-image-bug
Proof of concept voor misbruik Firefox-image-bug opent honderd email-vensters
Moderatie-faq Wijzig weergave

Reacties (87)

about:config

network.protocol-handler.external.mailto = false

En dan doet het niks.

of

network.protocol-handler.warn-external.mailto = true

dan krijg je een waarschuwing voordat de external mail app geopened word.
Dit lijkt me voor normale huis tuin en keukengebruikers geen echt zinvolle maatregel.
dankje! goede oplossing. (network.protocol-handler.warn-external.mailto = true)

wel flauw dat ze 100 plaatjes nemen ipv gewoon 2 om te bewijzen dat het werkt.
Tsja, maar mijn (Linux, Fedora Core 5) systeem loopt nog gewoon stabiel na het openen van 100 Thunderbird vensters. Sterker nog, de load die het genereerde was niet genoeg om de muziek te laten stotteren. Ik type dit gewoon vloeiend terwijl op de achtergrond thunderbird 100 venstertjes heeft staan. Het duurt even om te starten en af te sluiten, maar ik kan in de tussentijd gewoon doorwerken. Om een DoS te genereren heb je meer nodig dan 100 venstertjes, en aangezien dat starten een minuutje of 2 duurt, krijg ik al eerder vermoedens dat de browser+mailer wel eens gekilled mag worden.
De mailto: of news: bug werkt dan niet in IE, maar deze wel: <img src="javascript:alert('hoi')"> en dat is ook niet helemaal jofel. Enkele honderden alerts starten zonder die img tag is natuurlijk ook mogelijk, maar het klopt gewoon niet dat een image-src dit soort zaken 'inleest' of uitvoert.
Je zou met dat javascriptje een string kunnen returnen die het src-attribuut vult... Het is dus niet ondenkbaar dat het javascript wordt uitgevoerd. Maar het is dan wel weer typerend voor IE om dan de alerts ook gewoon weer te geven, want dát zou dan weer niet mogen.
haha 100 mailforms, 10 was ook al genoeg voor het bewijs

dat ik met 180km/u in zn vijf terugschakel naar 2, waardoor de versnellingsbak zegt: ja doei ga maar fietsen, wil nog niet zeggen dat het de fout van de fabrikant is of slecht ontwerp.

wat de fabrikant wel kan doen is even waarschuwen dat van 5 naar 2 met 180km/u niet verstandig is. zo kan mozilla ook zeggen: hey er wordt 100x je mailprog aangeroepen, is dat ok?
Een image tag hoort toch geen mail programma te openen. Dit is gewoon een fout van de fabrikant en niet iets waarvoor hij moet waarschuwen.

Als het een a href="mailto:" is zou het waarschuwen van toepassing zijn, maar nu dient de browser gewoon de afbeelding niet weer te geven ipv. de mail client te openen.

Als ik er format c: in zou kunnen zetten en dat zou werken, moet de browser dan vragen of ik zeker weet dat ik dit commando toe wil passen? Of zou hij het gewoon helemaal niet uit moeten voeren (edit: zou hij helemaal niets moeten vragen), omdat het hier een tag betreft die alleen geschikt is voor de weergave van afbeeldingen.
Dus niemand moet een enveloppe-logo'tje op z'n website kunnen hebben voor een contact-mail?

Ik denk alleen dat dit niet in combinatie met JavaScript moet kunnen!
Lees eerst even, het is de src= in de img tag die je mailclient aanroept, niet je href= in je anchor tag.
Tja, da's de vraag he?
Is het een bug, of gewoon een feature die misbruikt wordt?

Opvallend is wel dat IE er geen last van heeft. Het is dan blijkbaar niet zo'n vanzelfsprekende feature?
Het is een vunerability. Een zwakke plek. In dit geval een gevoelig heid voor een DOS aanval.
Veel van de gevonden exploits voor IE zijn bijvoorbeeld ook geschikt voor denial of service aanvallen.

Wat wel grappig is aan deze vunerability is dat je er zowel op windows als op linux gevoelig voor kan zijn omdat het niet specifiek is voor een mailclient.
het werkt inderdaad ook gewoon onder mac osx. Hier kan je het overigens vrij eenvoudig oplossen door "force quit" op "mail" toe te passen (alleen "mail" is tenslotte bezig, de rest van je computer loopt nog prima) en hierna kan je de pagina van firefox wegklikken.

Geen enkele andere browser deed het verder bij mij (shiira, safari, internet explorer, netscape, opera, omniweb, icab), alleen camino ook, maar das logisch want dat is ongeveer firefox voor osx
Het is wel degelijk een bug want hij ziet dit als een image source. Lees maar de eerste 2 zinnen van het artikel opnieuw:
SANS meldt dat er een Proof of concept voor een reeds bekende bug in Firefox 1.5.0.3 is opgedoken. De exploit genereert image-tags met een alternatieve protocol-link
edit: quote verkeerd gespeld
Jij gaat na de 5e versnelling zeker verder met de R van Racen
hey er wordt 100x je mailprog aangeroepen, is dat ok?
Is het niet zo dat dit één voor één wordt gedaan, en niet tegelijkertijd? Met andere woorden: de eerste keer wordt het mailprogramma gestart + een mailvenster, vervolgens nog een mailvenster, gevolgd door nog een mailvenster, en nog een mailvenster...

Is het wel mogelijk voor je mailprogramma om zoiets door te hebben? Nb: hoe weet Firefox dan bij voorbaat dat er 100 aanvragen acher elkaar komen, en niet bijvoorbeeld 3?
wat de fabrikant wel kan doen is even waarschuwen dat van 5 naar 2 met 180km/u niet verstandig is. zo kan mozilla ook zeggen: hey er wordt 100x je mailprog aangeroepen, is dat ok?
als je de radio aanzet hoort de auto toch niet keihard te remmen?
het gaat er niet om wat en hoe vaak het gebeurt, het gaat erom dat dit niet hoort te gebeuren.

het is trouwens ook mogelijk om media speler op te starten op deze manier, en waarschijnlijk iTunes ook
Dan zou ik dus eerst de "Noscript"-extensie in Firefox installerem. Die laat pas javascript op een site uitvoeren na jouw toestemming en je kunt ook aangeven welke sites altijd javascript mogen uitvoeren.
Klopt, dat wordt ook op Securityview als suggestie gegeven. De NoScript-addon is hier te downloaden:
https://addons.mozilla.org/firefox/722/
Let er wel op dat je dan Tweakers.net toestaat, anders blokkeer je ook zaken die je niet mag blokkeren volgens de voorwaarden.
:D

+1 verstandige opmerking
Alsof iemand daar om geeft !

Ik laat Adblock ook hier de advertenties van Tweakers.net blokkeren.

<div class="b4" style="position: relative; color: black; border: #C6C1B4 1px solid; width: 80%; padding: 5px; font-size: 12px;">Admin-edit:
Het weren van reclame op Tweakers.net is niet toegestaan.
Lees de <a href="http://www.tweakers.net/reviews/331/9"_blank">Algemene voorwaarden (art. 15) </a>voor meer info.
</div>
met SeaMonkey 1.0.1 heb ik ook nergens last van.
Geld dit dan ook nog als er bijvoorbeeld een foute banner op een site wordt getoond.
Tweakers zal niet zo snel deze bug uitbuiten, maar ze zijn wel afhankelijk van een reclamebureau die weer afhankelijk zijn van klanten. Een foute appel kan er dan al tussen zitten.
Zonder javascript werkt deze bug ook. Je dient enkel telkens een andere subject mee te geven om caching te voorkomen, bvb:

<html>
<body>
<img src="mailto:none@none.org?subject=test email&body=DoS1!">
<img src="mailto:none@none.org?subject=test email&body=DoS2!">
<img src="mailto:none@none.org?subject=test email&body=DoS3!">
<img src="mailto:none@none.org?subject=test email&body=DoS4!">
<img src="mailto:none@none.org?subject=test email&body=DoS5!">
<img src="mailto:none@none.org?subject=test email&body=DoS6!">
<img src="mailto:none@none.org?subject=test email&body=DoS7!">
</body>
</html>

@NiGhTsPiRiT666 : Ik bedoel uiteraard niet dat de email gecached wordt. Wat wel gebeurt als de src van de img tag exact overeenkomt met de vorige, is dat firefox de aanvraag niet opnieuw uitvoert (die gaat ervan uit dat het om dezelfde afbeelding gaat), en dus ook geen mail client opnieuw opstart. In dat opzicht is het de url cache van firefox die dat regelt.
Wat een onzin!
Er wordt niets van internet opgehaald wat gecached zou kunnen worden.

Edit: het is natuurlijk geen onzin dat het ook zonder javascript kan :)
Ik neem het risico wel.
De kans is wel zooo klein dat ik op zo'n site kom dat het niet opweegt tegen het gemak van javascript op sites. Bovendien is het totaal geen kritieke bug, alleen een beetje irritante áls je hem al tegen komt.
Safari is veilig :)
De vraag is, is het een bug/exploit of is het gewoon cybervandalisme.

Internet is open en zonder regulering. Daardoor kunnen dit soort acties gewoon ongestraft worden uitgevoerd. Het is gewoon misbruik van een feature. Je kan het zien als de bekende muur en de vandaal met spuitbus. Is de muur fout of is de spuitbus fout. Moet je de spuitbussen zo modificeren dat ze niet meer op muren kunnen spuiten?

Er zijn genoeg expoits welke de boel om zeep kunnen helpen. Voorbeeldje:
<?php
$i=0;
while (true)
{
echo chr($i++);
$i= ($i>255?0;$i);
}
?>
Dit is een bug. Er is namelijk geen enkele reden waarom een mailto url in een image tag afgehandeld moet kunnen worden. Dat je dezelfde effecten ook op andere manieren kan bereiken doet eigenlijk niet ter zake.

En je PHP code hangt je server op en niet de client :)
Och kijk, je kunt ook dit doen volgens mij:

<script>
bla = true;
while(bla) {
window.location = 'mailto:bla@bla.com';
}
</script>

En dit heb ik dus net getest en het werk met alle browsers.
<script>
window.location = "mailto:me";
window.location = "bug2.html";
</script>

dit werkt beter ;) zat het ook even te bekijken ja... (aannemend dat je deze bug dan bug2.html noemt). Want anders opent hij alsnog maar 1 keer een email venster... nu blijft hij door gaan :)
Als dit inderdaad zo is, begrijp ik niet wat de hele ophef is...

Er zijn nog wel honderd andere manieren te vinden om je browser op te hangen.
Daarmee helpt ge ook wel uw eigen webserver om zeep. Die trouwens hoogst waarschijnlijk uw scrip zal stop zetten na x-seconden uitvoering (afhankelijk van de instellingen natuurlijk).
Hier belast je de webserver mee, met zulke scripts heb je vooral jezelf te pakken.
Je vergelijking klopt niet helemaal:

Je kan in dit geval de spuitbus (de misbruikers) niet veranderen.
Dus je moet je muur (firefox) zo maken dat de spuitbus er geen effect op heeft.
Anders zullen er altijd vandalen op je muur bezig blijven.
Ik meen dat Opera na een X aantal seconden vraagt om de Javascript te stoppen, een feature die in iedere browser zou moeten zitten.
Dit noem ik geen bug, het is gewoon een loopje. Zo kan ik er nog wel 100 verzinnen...
Tuurlijk is dit wel een bug. Alles wat een risico oplevert bij normaal gebruik is een bug. Tevens voldoet de werking niet aan de standaard, dus is ook in dat opzicht het een bug. Tenslotte moet een programma een eindeloze loop afvangen en stoppen voor er problemen ontstaan.
Tuurlijk is dit wel een bug. Alles wat een risico oplevert bij normaal gebruik is een bug.
Wat is het risico dan?
Tevens voldoet de werking niet aan de standaard, dus is ook in dat opzicht het een bug
Welke standaard? En als we het dan toch over standaarden hebben is volgens jou hypothese Internet Explorer ook een bug. (het voldoet niet aan de W3C standaarden).
Tenslotte moet een programma een eindeloze loop afvangen en stoppen voor er problemen ontstaan.
Dat doet ie bij mij ook... Na verloop van tijd kan je er loopt de sessie vast en kan je er automatisch voor kiezen alle popups te afsluiten.

is het volgende loopje dan ook een bug?

1) print('hello")
2) goto 1
Het risico is een buffer overflow waardoor hackers toegang kunnen krijgen tot je pc.

De afwijking van de standaard is "De exploit genereert image-tags met een alternatieve protocol-link."

Het vastlopen van de sessie heet een buffer overflow.

Regel 1 van dit artikel:
"SANS meldt dat er een Proof of concept voor een reeds bekende bug in Firefox 1.5.0.3 is opgedoken"

Wat wil je nou?
Hmm, ik krijg alleen 100 "broken image" plaatjes te zien, verder gebeurd er niets... Maar ik heb dan ook geen email client ingesteld :)
Ik krijg daardoor (maar een keer) de config wizzard van Evolution. In windows gaat Outlook wel 100 keer open maar het blijft wel stabiel.
De trage werking is afhankelijk van je FF icm met je email client. Misschien is FF gewoon langzaam in het opstarten van clients of is in jou geval thunderbird heel sloom en wacht FF daarop.

Het kan echter best zijn dat als FF zelf niet de vertragende factor is dat het in een andere configuratie op een ander OS of met een andere email client het wel als een speer gaat.
Ter info: ook Firefox 1.5.0.1 op de Mac had er last van.
Heeft toch in weze niets met JavaScript te maken? Als die persoon gewoon honderd maal: <img src="mailto:none@none.org"> in zijn HTML-pagina zet hebt ge toch hetzelfde probleem? 't Zal alleen net iets langer duren om de pagina binnen te halen.

Lijkt me bovendien ook niet zo moeilijk om eenzelfde soort trucje toe te passen op andere browsers.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True