Proof of concept voor misbruik Firefox-image-bug

SANS meldt dat er een Proof of concept voor een reeds bekende bug in Firefox 1.5.0.3 is opgedoken. De exploit genereert image-tags met een alternatieve protocol-link. Hierdoor wordt bijvoorbeeld bij een mailto:-link het lokale mailprogramma geopend en wanneer er te veel mailclients worden geopend, onstaat het effect van een DoS-aanval. Een mogelijke workaround voor dit specifieke proof of concept is het uitschakelen van het automatisch opstarten van het emailprogramma vanuit Firefox. Hiertoe volstaat het de waarde 'network.protocol-handler.warn-external.mailto' uit het 'about:config'-scherm op 'true' te zetten. Deze instelling zorgt ervoor dat Firefox eerst vraagt of het emailprogramma gestart moet worden wanneer een mailto-link wordt tegengekomen. In het geval van de exploit betekent dit dat het systeem wel gewoon gebruikt kan worden. Nadeel is dat de gebruiker talloze dialoogvensters moet wegklikken. Andere mogelijkheden zijn het uitschakelen van javascript of het uitschakelen van de mailto-link, maar deze workarounds hebben ook meer bijwerkingen. Tweakers die de drang niet kunnen weerstaan om te testen of hun Firefox-browser ook gevoelig is voor de bug, kunnen via een Securityview-pagina een link bezoeken die honderd emailvensters probeert te openen.

Proof of concept voor misbruik Firefox-image-bug opent honderd email-vensters

Reacties (87)

Verwijderd 12 mei 2006 13:01

about:config

network.protocol-handler.external.mailto = false

En dan doet het niks.

of

network.protocol-handler.warn-external.mailto = true

dan krijg je een waarschuwing voordat de external mail app geopened word.

Verwijderd @Verwijderd • 12 mei 2006 13:09

Dit lijkt me voor normale huis tuin en keukengebruikers geen echt zinvolle maatregel.

powerflux @Verwijderd • 12 mei 2006 13:12

dankje! goede oplossing. (network.protocol-handler.warn-external.mailto = true)

wel flauw dat ze 100 plaatjes nemen ipv gewoon 2 om te bewijzen dat het werkt.

RSpliet @powerflux • 12 mei 2006 13:56

Tsja, maar mijn (Linux, Fedora Core 5) systeem loopt nog gewoon stabiel na het openen van 100 Thunderbird vensters. Sterker nog, de load die het genereerde was niet genoeg om de muziek te laten stotteren. Ik type dit gewoon vloeiend terwijl op de achtergrond thunderbird 100 venstertjes heeft staan. Het duurt even om te starten en af te sluiten, maar ik kan in de tussentijd gewoon doorwerken. Om een DoS te genereren heb je meer nodig dan 100 venstertjes, en aangezien dat starten een minuutje of 2 duurt, krijg ik al eerder vermoedens dat de browser+mailer wel eens gekilled mag worden.

slm 12 mei 2006 16:40

De mailto: of news: bug werkt dan niet in IE, maar deze wel: <img src="javascript:alert('hoi')"> en dat is ook niet helemaal jofel. Enkele honderden alerts starten zonder die img tag is natuurlijk ook mogelijk, maar het klopt gewoon niet dat een image-src dit soort zaken 'inleest' of uitvoert.

_Thanatos_ @slm • 13 mei 2006 13:13

Je zou met dat javascriptje een string kunnen returnen die het src-attribuut vult... Het is dus niet ondenkbaar dat het javascript wordt uitgevoerd. Maar het is dan wel weer typerend voor IE om dan de alerts ook gewoon weer te geven, want dát zou dan weer niet mogen.

PipoDeClown 12 mei 2006 12:49

haha 100 mailforms, 10 was ook al genoeg voor het bewijs

dat ik met 180km/u in zn vijf terugschakel naar 2, waardoor de versnellingsbak zegt: ja doei ga maar fietsen, wil nog niet zeggen dat het de fout van de fabrikant is of slecht ontwerp.

wat de fabrikant wel kan doen is even waarschuwen dat van 5 naar 2 met 180km/u niet verstandig is. zo kan mozilla ook zeggen: hey er wordt 100x je mailprog aangeroepen, is dat ok?

Verwijderd @PipoDeClown • 12 mei 2006 13:30

Een image tag hoort toch geen mail programma te openen. Dit is gewoon een fout van de fabrikant en niet iets waarvoor hij moet waarschuwen.

Als het een a href="mailto:" is zou het waarschuwen van toepassing zijn, maar nu dient de browser gewoon de afbeelding niet weer te geven ipv. de mail client te openen.

Als ik er format c: in zou kunnen zetten en dat zou werken, moet de browser dan vragen of ik zeker weet dat ik dit commando toe wil passen? Of zou hij het gewoon helemaal niet uit moeten voeren (edit: zou hij helemaal niets moeten vragen), omdat het hier een tag betreft die alleen geschikt is voor de weergave van afbeeldingen.

Isnowiz @Verwijderd • 12 mei 2006 15:07

Dus niemand moet een enveloppe-logo'tje op z'n website kunnen hebben voor een contact-mail?

Ik denk alleen dat dit niet in combinatie met JavaScript moet kunnen!

ciro-bonano @Isnowiz • 12 mei 2006 15:21

Lees eerst even, het is de src= in de img tag die je mailclient aanroept, niet je href= in je anchor tag.

mjtdevries @PipoDeClown • 12 mei 2006 13:01

Tja, da's de vraag he?
Is het een bug, of gewoon een feature die misbruikt wordt?

Opvallend is wel dat IE er geen last van heeft. Het is dan blijkbaar niet zo'n vanzelfsprekende feature?

Verwijderd @mjtdevries • 12 mei 2006 13:07

Het is een vunerability. Een zwakke plek. In dit geval een gevoelig heid voor een DOS aanval.
Veel van de gevonden exploits voor IE zijn bijvoorbeeld ook geschikt voor denial of service aanvallen.

Wat wel grappig is aan deze vunerability is dat je er zowel op windows als op linux gevoelig voor kan zijn omdat het niet specifiek is voor een mailclient.

Aitrus @Verwijderd • 12 mei 2006 13:19

het werkt inderdaad ook gewoon onder mac osx. Hier kan je het overigens vrij eenvoudig oplossen door "force quit" op "mail" toe te passen (alleen "mail" is tenslotte bezig, de rest van je computer loopt nog prima) en hierna kan je de pagina van firefox wegklikken.

Geen enkele andere browser deed het verder bij mij (shiira, safari, internet explorer, netscape, opera, omniweb, icab), alleen camino ook, maar das logisch want dat is ongeveer firefox voor osx

i8086 @mjtdevries • 12 mei 2006 13:33

Het is wel degelijk een bug want hij ziet dit als een image source. Lees maar de eerste 2 zinnen van het artikel opnieuw:

SANS meldt dat er een Proof of concept voor een reeds bekende bug in Firefox 1.5.0.3 is opgedoken. De exploit genereert image-tags met een alternatieve protocol-link

edit: quote verkeerd gespeld

trogdor @PipoDeClown • 12 mei 2006 14:45

Jij gaat na de 5e versnelling zeker verder met de R van Racen

Verwijderd @PipoDeClown • 12 mei 2006 14:51

hey er wordt 100x je mailprog aangeroepen, is dat ok?

Is het niet zo dat dit één voor één wordt gedaan, en niet tegelijkertijd? Met andere woorden: de eerste keer wordt het mailprogramma gestart + een mailvenster, vervolgens nog een mailvenster, gevolgd door nog een mailvenster, en nog een mailvenster...

Is het wel mogelijk voor je mailprogramma om zoiets door te hebben? Nb: hoe weet Firefox dan bij voorbaat dat er 100 aanvragen acher elkaar komen, en niet bijvoorbeeld 3?

bartje321 @PipoDeClown • 12 mei 2006 15:15

wat de fabrikant wel kan doen is even waarschuwen dat van 5 naar 2 met 180km/u niet verstandig is. zo kan mozilla ook zeggen: hey er wordt 100x je mailprog aangeroepen, is dat ok?

als je de radio aanzet hoort de auto toch niet keihard te remmen?
het gaat er niet om wat en hoe vaak het gebeurt, het gaat erom dat dit niet hoort te gebeuren.

het is trouwens ook mogelijk om media speler op te starten op deze manier, en waarschijnlijk iTunes ook

DeliciousBrown® 12 mei 2006 12:40

Dan zou ik dus eerst de "Noscript"-extensie in Firefox installerem. Die laat pas javascript op een site uitvoeren na jouw toestemming en je kunt ook aangeven welke sites altijd javascript mogen uitvoeren.

Auteur

T.T. @DeliciousBrown® • 12 mei 2006 12:41

Klopt, dat wordt ook op Securityview als suggestie gegeven. De NoScript-addon is hier te downloaden:
https://addons.mozilla.org/firefox/722/

Mathijs @T.T. • 12 mei 2006 20:25

Let er wel op dat je dan Tweakers.net toestaat, anders blokkeer je ook zaken die je niet mag blokkeren volgens de voorwaarden.

boesOne @Mathijs • 12 mei 2006 20:59

+1 verstandige opmerking

Verwijderd @Mathijs • 12 mei 2006 20:30

Alsof iemand daar om geeft !

Ik laat Adblock ook hier de advertenties van Tweakers.net blokkeren.

<div class="b4" style="position: relative; color: black; border: #C6C1B4 1px solid; width: 80%; padding: 5px; font-size: 12px;">Admin-edit:
Het weren van reclame op Tweakers.net is niet toegestaan.
Lees de <a href="http://www.tweakers.net/reviews/331/9"_blank">Algemene voorwaarden (art. 15) </a>voor meer info.
</div>

aardkwak @T.T. • 12 mei 2006 14:41

met SeaMonkey 1.0.1 heb ik ook nergens last van.

TheGhostInc @DeliciousBrown® • 12 mei 2006 13:03

Geld dit dan ook nog als er bijvoorbeeld een foute banner op een site wordt getoond.
Tweakers zal niet zo snel deze bug uitbuiten, maar ze zijn wel afhankelijk van een reclamebureau die weer afhankelijk zijn van klanten. Een foute appel kan er dan al tussen zitten.

Verwijderd @DeliciousBrown® • 12 mei 2006 13:36

Zonder javascript werkt deze bug ook. Je dient enkel telkens een andere subject mee te geven om caching te voorkomen, bvb:

<html>
<body>
<img src="mailto:none@none.org?subject=test email&body=DoS1!">
<img src="mailto:none@none.org?subject=test email&body=DoS2!">
<img src="mailto:none@none.org?subject=test email&body=DoS3!">
<img src="mailto:none@none.org?subject=test email&body=DoS4!">
<img src="mailto:none@none.org?subject=test email&body=DoS5!">
<img src="mailto:none@none.org?subject=test email&body=DoS6!">
<img src="mailto:none@none.org?subject=test email&body=DoS7!">
</body>
</html>

@NiGhTsPiRiT666 : Ik bedoel uiteraard niet dat de email gecached wordt. Wat wel gebeurt als de src van de img tag exact overeenkomt met de vorige, is dat firefox de aanvraag niet opnieuw uitvoert (die gaat ervan uit dat het om dezelfde afbeelding gaat), en dus ook geen mail client opnieuw opstart. In dat opzicht is het de url cache van firefox die dat regelt.

Verwijderd @Verwijderd • 12 mei 2006 14:13

Wat een onzin!
Er wordt niets van internet opgehaald wat gecached zou kunnen worden.

Edit: het is natuurlijk geen onzin dat het ook zonder javascript kan

bbr @DeliciousBrown® • 12 mei 2006 13:57

Safari is veilig

AugmentoR @DeliciousBrown® • 12 mei 2006 18:58

Ik neem het risico wel.
De kans is wel zooo klein dat ik op zo'n site kom dat het niet opweegt tegen het gemak van javascript op sites. Bovendien is het totaal geen kritieke bug, alleen een beetje irritante áls je hem al tegen komt.

Verwijderd 12 mei 2006 13:22

De vraag is, is het een bug/exploit of is het gewoon cybervandalisme.

Internet is open en zonder regulering. Daardoor kunnen dit soort acties gewoon ongestraft worden uitgevoerd. Het is gewoon misbruik van een feature. Je kan het zien als de bekende muur en de vandaal met spuitbus. Is de muur fout of is de spuitbus fout. Moet je de spuitbussen zo modificeren dat ze niet meer op muren kunnen spuiten?

Er zijn genoeg expoits welke de boel om zeep kunnen helpen. Voorbeeldje:

<?php
$i=0;
while (true)
{
echo chr($i++);
$i= ($i>255?0;$i);
}
?>

Verwijderd @Verwijderd • 12 mei 2006 13:33

Dit is een bug. Er is namelijk geen enkele reden waarom een mailto url in een image tag afgehandeld moet kunnen worden. Dat je dezelfde effecten ook op andere manieren kan bereiken doet eigenlijk niet ter zake.

En je PHP code hangt je server op en niet de client

Carda @Verwijderd • 12 mei 2006 13:59

Och kijk, je kunt ook dit doen volgens mij:

<script>
bla = true;
while(bla) {
window.location = 'mailto:bla@bla.com';
}
</script>

En dit heb ik dus net getest en het werk met alle browsers.

Verwijderd @Carda • 12 mei 2006 15:11

zat het ook even te bekijken ja... (aannemend dat je deze bug dan bug2.html noemt). Want anders opent hij alsnog maar 1 keer een email venster... nu blijft hij door gaan

voodooless @Carda • 12 mei 2006 15:07

Als dit inderdaad zo is, begrijp ik niet wat de hele ophef is...

Er zijn nog wel honderd andere manieren te vinden om je browser op te hangen.

Twisted.Strife @Verwijderd • 12 mei 2006 13:28

Daarmee helpt ge ook wel uw eigen webserver om zeep. Die trouwens hoogst waarschijnlijk uw scrip zal stop zetten na x-seconden uitvoering (afhankelijk van de instellingen natuurlijk).

Verwijderd @Verwijderd • 12 mei 2006 13:30

Hier belast je de webserver mee, met zulke scripts heb je vooral jezelf te pakken.

Ikke_Niels @Verwijderd • 12 mei 2006 13:30

Je vergelijking klopt niet helemaal:

Je kan in dit geval de spuitbus (de misbruikers) niet veranderen.
Dus je moet je muur (firefox) zo maken dat de spuitbus er geen effect op heeft.
Anders zullen er altijd vandalen op je muur bezig blijven.

kamerplant @Verwijderd • 12 mei 2006 14:38

Ik meen dat Opera na een X aantal seconden vraagt om de Javascript te stoppen, een feature die in iedere browser zou moeten zitten.

The Noid 12 mei 2006 12:53

Hmm, ik krijg alleen 100 "broken image" plaatjes te zien, verder gebeurd er niets... Maar ik heb dan ook geen email client ingesteld

rtgo @The Noid • 12 mei 2006 14:13

Ik krijg daardoor (maar een keer) de config wizzard van Evolution. In windows gaat Outlook wel 100 keer open maar het blijft wel stabiel.

Verwijderd 12 mei 2006 13:12

De trage werking is afhankelijk van je FF icm met je email client. Misschien is FF gewoon langzaam in het opstarten van clients of is in jou geval thunderbird heel sloom en wacht FF daarop.

Het kan echter best zijn dat als FF zelf niet de vertragende factor is dat het in een andere configuratie op een ander OS of met een andere email client het wel als een speer gaat.

Hertog 12 mei 2006 13:13

Ter info: ook Firefox 1.5.0.1 op de Mac had er last van.

Twisted.Strife 12 mei 2006 13:21

Heeft toch in weze niets met JavaScript te maken? Als die persoon gewoon honderd maal: <img src="mailto:none@none.org"> in zijn HTML-pagina zet hebt ge toch hetzelfde probleem? 't Zal alleen net iets langer duren om de pagina binnen te halen.

Lijkt me bovendien ook niet zo moeilijk om eenzelfde soort trucje toe te passen op andere browsers.

RVW 12 mei 2006 14:13

Volgens mij is het niet zozeer een FireFox bug als een fout in Gecko: ook bij Camino (Mac OS X Cocoa-frontje met Gecko als engine) is de bug aanwezig.

Op dit item kan niet meer gereageerd worden.

Proof of concept voor misbruik Firefox-image-bug

Lees meer

Reacties (87)

Sorteer op:

Weergave: