» »

Samo Konqueror prestal varnostni test

Samo Konqueror prestal varnostni test

Slo-Tech - Slashdot je objavil novico, da so odkrili novo varnostno luknjo v vseh brskalnikih. Samozavestno sem sledil povezavi v prepričanju, da se me kot uporabnika Mozille na Linuxu novica pravzaprav ne tiče. Ko se je izkazalo, da Mozilla 1.7.3 testa ni prestala, me je radovednost gnala naprej. Test sem izvedel še z naslednjimi brskalniki: 1. Firefox 1.0 za Linux - 2. Opera 7.54 za Linux - 3. Netscape 7.2 za Okna, nameščen s CrossOver v Linuxu - 4. IE 6, nameščen s CrossOver v Linuxu - 5. Firefox 1.0 za Okna, nameščen v Windows 98, ki tečejo na VmWare v Linuxu - 6. Konqueror. Od vseh naštetih je test uspešno prestal samo Konqueror.

68 komentarjev

«
1
2

|SNap| ::

Meni tisti "demo exploit" ne dela (Firefox 1.0 na Windows XP SP2)

Poldi112 ::

Slashdot komentar:
> Rumor has it, patches to support this exploit in Lynx will be available by the end of the week. ;)

Drugace pa res. Samo prida me ne prizadane, ker imam blokirane pop-up-e in jih sovrazim do te mere, da jih resnicno zelo redko dovolim. Firefox je ranljiv, jaz kot njegov uporabnik pa ne. :)
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

Bistri007 ::

Pa Lynx...

OceanSurf ::

Me zanima koliko časa bojo posamezne skupine potrebovale, da odpravijo voulnerability.

Lee_Nover ::

Opera 7.60 p4 @ WinXP .. not affected :P

.:Toto:. ::

Konquerror 3.2.3 @ slack 10.0 :( pade na testu! Bom jutri poiskusal se na 3.3.1.

lukaz ::

na mozilla firefox 1.0 na win98 ne učinkuje....

ghaefb ::

Kaj je zdej to?
A so umaknili ta spoof al kaj...

Ker meni na FedoraCore3 - Firefox 1.0 ne ucinkuje.
_ghaefb

BigWhale ::

Vsi tisti, ki ste napisali, da vam zadeva ne dela, pomeni, da ste narobe prebrali navodila. (ja, res so malo cudno napisana)

alesrosina ::

Hm, ja in .... mam Avant browserin ko mi odpre pop-up vidim tud url - in vidim, da ni od citibank. Drgac pa ubistvu sploh ne stekam kva je tle ksn "Vulnerability" - ti bi tko al tko mogu postavt na svoji strani link do doticne strani, da bi lahko napisu un javascript .... mislm, ne stekam fore. Ce mi lahko kdo mal razlozi, ce jst to narobe stekam.

Beat-O ::

Na Scuniini strani piše, da je Safari ranljiv, vendar je pri meni prestal test. In ja, sem kliknil na slikico in odprl mi je citibankov url.
http://www.toshl.com/

Microsoft ::

Men ofne tole stran: klik

Zgleda, da je od CitiBank, in ne od Secunia.:\

Aja, pa pop-up ti more odpret. Bistvo je, kater pop-up okno ti ofne. Saj tak sm jst razumel tale test.


by Miha
s8eqaWrumatu*h-+r5wre3$ev_pheNeyut#VUbraS@e2$u5ESwE67&uhukuCh3pr

ghaefb ::

BigWhale.... razlozi nam :\
_ghaefb

Poldi112 ::

Se vedno dela. Firefox 1.0, Gentoo. Ne vem zakaj nekaterim ne dela, enostavno kliknes prvi link ce imas pop up blocker, Firefox ti rece da je preprecil pop-up-u da bi se odprl, kliknes tja in dovolis enemu da se prikaze. In vidis da ni od banke.

>Drgac pa ubistvu sploh ne stekam kva je tle ksn "Vulnerability"

Ko dobis pop up ki ni od banke notri pise:

The pop-up window you requested to open via the CitiBank web site is now controlled by Secunia.com.

This page could easily have contained malicious information spoofed as being from CitiBank, asking you to install programs or disclose sensitive information such as credit card details.

This is only limited by the imagination of the attacker (phisher).
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

Microsoft ::

Kaze, da IE le ni ranljiv.>:D


by Miha
s8eqaWrumatu*h-+r5wre3$ev_pheNeyut#VUbraS@e2$u5ESwE67&uhukuCh3pr

Poldi112 ::

Tega pa skoraj ne verjamem. Ziher si ti kje falil, ker je verjetnost neverjetno majhna, da bi bila najvecja jetra od browserja edina, ki bi prestala test.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

Microsoft ::

Lej, jst grem na tole stran in kliknem na sliko, ki je na desni strani.



Vrze me semle: klik


by Miha
s8eqaWrumatu*h-+r5wre3$ev_pheNeyut#VUbraS@e2$u5ESwE67&uhukuCh3pr

linuxdady ::

Microsoft:Najina komentarja sta se pravkar malo križala. Explorer ti odpre pravo stran?
Čudno. Poskusil sem na hčerkinem računalniku, pa testa ni prestal. (Okna XP, SP2, samodejno posodabljanje)

Glede na nekatere komentarje sklepam, da vsi niso povsem razumeli, zakaj gre.
Povezavo iz bankine strani, ki vsekakor vzbuja zaupanje, v resnici prestreže stran z "zlobno kodo" in se predstavi kot stran, ki si jo hotel odpreti. V prikazanem primeru ti stran, ki se odpre namesto bančne, pojasni, da si zaveden. Če bi šlo pa zares, bi stran izgledala natako tako, kot bančna. Vtipkal bi svoje geslo in številko računa in potem.....

Pa še to - vse brskalnike sem preizkušal samo s prepovedanimi neželjenimi okni!

Microsoft ::

Lej, povej, ce je tale stran od banke al ne.

This should normally open a pop-up window with information from CitiBank about fraudulent emails.
Men pokaze pop-up, kjer govori o mejlih in nevarnostih linkov v teh mejlih...

You are vulnerable, if a pop-up window opened and showed text from Secunia and not from CitiBank.
Pr men ne duha ne sluha o Secunia.


by Miha
s8eqaWrumatu*h-+r5wre3$ev_pheNeyut#VUbraS@e2$u5ESwE67&uhukuCh3pr

Road Runner ::

na os x se odpre:

Firefox 1.0 - secunia
Opera 7.5.4 - secunia
safari 1.2.4 - citibank
internet epxlorer:mac 5.2 - secunia

nevem kaj na secunii bluzijo s safarijem. itak pa ima v osnovi konquerorov engine...

Microsoft ::

No, men ofne okno in to zgleda nekako takole: klik

Sam kle neki ne stima. Men tud Firefox 1.0 ofne citibank: klik

by Miha
s8eqaWrumatu*h-+r5wre3$ev_pheNeyut#VUbraS@e2$u5ESwE67&uhukuCh3pr

Pithlit ::

Če ta link: Test now - With pop-up blocker - Left click on this link odprem v novem tabu (kar mi firefox po defaultu dela) pol exploit ne dela... Če pa odprem v novem oknu pol pa dela.

Če moram sledit navodilom zato da nek exploit dela pol to nima ne vem kakega haska... je pa res da svež firefox to odpira v novem oknu po dafault-u.

Tko k je Poldi112 povedu: Firefox je ranljiv, jaz kot njegov uporabnik pa ne. :)
Life is as complicated as we make it...

Exilian ::

like my old grampa used to say: človek ni ranljiv samo takrat ko se zaveda da je ranljiv.

btw: a veste da so odkrili novo lukno ki vam lahko ukrade denar iz torbice, če jo imate preblizu monitorja... bom dal link takoj, samo trenutek..
It's not the opensource i hate.
It's the fanclub I cannot stand.

Microsoft ::

OK, grem jst z neznanjem anglescine tole prevajat.

Step 1
This demonstration will open the CitiBank web site in a new window.

When viewing the CitiBank web site, click on the image, which looks like the one below. This should normally open a pop-up window with information from CitiBank about fraudulent emails.

Torej. Prvi korak je ta, da se ti more najperj naslikat stran citibank.com. Tu ni nikakersnega govora o kakem pop-up. Bitsvo je, da gres na citibank.com. Ko si tam, gres po navodilih naprej.
Ko pa si tam, kilknes na sliko (sm dal link do slike mal visi). In to ti more odpret pop-up okno, ce sploh hoces stestirat stvar. Ker ce ti ne, potem s tem nisi naredu testa. Okno se ti more odpret. Point je, kakso okno se ti odpre.

Step 2
Starting the test is done by clicking the relevant link below. Use the first link if you have a pop-up blocker enabled, or the second link if you do not have a pop-up blocker enabled.

To ti da dva linka, ki te oba prpeleta do citibank.com. Sploh ni point v tem.

Step 3
You are vulnerable, if a pop-up window opened and showed text from Secunia and not from CitiBank

To je zdej tisto, kam te vrze. Ce te na citibank, pol je kul. Ce te ne, pol ni kul.

In link oz. slika, na ketero jst razumem, da je treba kilnat, je obkrozena kle: klik

Se strinjamo zdej al ne?8-)


by Miha
s8eqaWrumatu*h-+r5wre3$ev_pheNeyut#VUbraS@e2$u5ESwE67&uhukuCh3pr

Pithlit ::

Če do citibank NE dostopaš z levimklikom na linke na secunia.com (torej tako da se ti citibank stran odpre v novem oknu) potem exploit NE dela.

Če link kopiraš in ga prilepiš v novo okno brskalnika (ki si ga sam ročno pognal iz menija/konzole/desktopa/kakorkoli) pol exploit NE dela. Exploit dela edino v primeru da dobesedno slediš navodilom na strani.

Aja... tako je vsaj s Firefox 1.0 na Linuxu... Domnevam pa da na windows ni razlike.
Life is as complicated as we make it...

BigWhale ::

Navodila so zabluzena... Evo za tiste, ki vam ni uspelo zgruntat:

1. Odpravite se sem.

Skrolajte tja do navodil za test... Z klikom na levi gumb miske (ali pa desni, ce imate left handed mouse) odprite povezavo do citybanka. Izberite ustrezno povezavo glede na to ali imate popup blocker ali ne.
(Ce boste uporabili napacen link, bo treba se enkrat reloaded test page od secunie)

2. Odprlo se vam bo link od citibanka.

3. Kliknite na slicico Consumer Alert / beware of...

4. V popupu se vam pokaze hijacked stran od secunie.

PS: Ce je vas browser kakorkoli drugace nastavljen, se vam novi linki odpirajo v novih tabih ali pa se vam popupi odpirajo v novih tabih, potem bo browser test prezivel.
Default IE, opera, mozilla, firefox pa vsi po vrsti crknejo.

ender ::

V Operi (Windows 7.60P4c; Linux 7.60P4) exploit deluje, če imam izklopljeno blokiranje pop-upov, sicer ne.
There are only two hard things in Computer Science:
cache invalidation, naming things and off-by-one errors.

raufnk ::

exploit je tudi pri meni (logično) uspešen tako na Firefoxu kot na IE.
moraš pa tudi v IE z SP2 klikniti na link za popup blocker (če seveda ni izklopljen), sicer zadeva ne dela
lp raufnk

Microsoft ::

Pa naj nekdo prilima gor sliko od tiste hijacked strani.

Btw, jst grem po navodilih, kot sta jih napisala Pithlit in BigWhale, na koncu pa mi ofne tole stran.


by Miha
s8eqaWrumatu*h-+r5wre3$ev_pheNeyut#VUbraS@e2$u5ESwE67&uhukuCh3pr

Poldi112 ::

Ne se sekirat. Si pac varen. Tvoj browser verjetno ni, ampak ce si ti se pac ne prevec sekirat s tem. Bolje tako kot obratno.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

linuxdady ::

Microsoft, si upošteval navodilo, da moraš pred vsakokratnim preizkusom na novo naložiti izhodiščno stran?

Microsoft ::

linuxdady, jst zacnem test iz STjeve strani, kjer kliknem na link objavlen v novici. Tako, da vedno zacnem na novo.


by Miha
s8eqaWrumatu*h-+r5wre3$ev_pheNeyut#VUbraS@e2$u5ESwE67&uhukuCh3pr

raufnk ::

pa izbereš tist link, ki je za popup blocker, če imaš to funkcijo seveda vključeno?
lp raufnk

CaqKa ::

imam maxthona
če v njem vklopim popup stoper (in kliknem na ustrezni link), je ok
če pa izklopim in grem na stran za brez popup stoperja pa pridem do onega vurneability pejdza.

Azrael ::

Imam Win98 in IE 5.5, rezultati:

MyIE2 (ver.0.9.27.68) = Citi
IE 5.5 brez vsega = Secunia
IE + HitwarePopup Killer Lite = Secunia

LP, Azrael

p.s. CaqKa, tvoja ugotovitev drži.
Nekoč je bil Slo-tech.

Microsoft ::

raufnk, pr obeh linkih je rezultat isti.


by Miha
s8eqaWrumatu*h-+r5wre3$ev_pheNeyut#VUbraS@e2$u5ESwE67&uhukuCh3pr

alesrosina ::

hm sam se zmer ne stekam - ti mors met en sajt, na kerem das link do citybank - al kr tko po cudezu, ce kliknem na strani od citbank (naprimer) na "Login" (zmislu sm si) mi krena stran po čudežu hajđeka popup in da not svojo vsebino?
Mislm krneki, to ni nobena ranljivost. krneki.

BigWhale ::

ASP, pojma nimas...

Pithlit ::

LOL BW >:D
Life is as complicated as we make it...

alesrosina ::

BigWhale: ja sej zato pa prosim, ce mi lahko razlozis, kako to deluje?

Microsoft ::

Men so taki komentarji prov bedni. En ti rece, da pojma nimas. Ampak da bi pa napisu besedo ali dve "o stvari", pa ne.

BigWhale, ti pojma nimas.:P


by Miha
s8eqaWrumatu*h-+r5wre3$ev_pheNeyut#VUbraS@e2$u5ESwE67&uhukuCh3pr

BigWhale ::

Pri secunii so tako lepo razlozili...

Ce poznas ime nekega popupa, ki se bo odprl, potem ga lahko hijackas. Vsakdo, ki se bo iz tvojega site-a odpravil na target site, bo ranljiv in mu bos lahko prestrezal popupe...

Microsoft ::

Se pravi, da je pri tem pomembno, da gres na stran iz nekega linka? Ker ce gres direkt (napises URL), pol se to ne da?


by Miha
s8eqaWrumatu*h-+r5wre3$ev_pheNeyut#VUbraS@e2$u5ESwE67&uhukuCh3pr

Pithlit ::

Če link kopiraš in ga prilepiš v novo okno brskalnika (ki si ga sam ročno pognal iz menija/konzole/desktopa/kakorkoli) pol exploit NE dela. Exploit dela edino v primeru da dobesedno slediš navodilom na strani.


Torej dragi Microsoft... bullzeye! You got it right. 8-O
Life is as complicated as we make it...

Microsoft ::

Torej dragi Pithlit, jst pri testu sledim navodilom!!!


by Miha
s8eqaWrumatu*h-+r5wre3$ev_pheNeyut#VUbraS@e2$u5ESwE67&uhukuCh3pr

linuxdady ::

Ugotovili smo torej, da varnostna luknja obstaja in da je ranljivih večina brskalnikov.
Ali lahko kdo od računalniških znalcev pojasni, ali je takšno luknjo dejansko mogoče uporabiti za čisto konkretne lopovščine, ali je to zgolj teoretična možnost?
Je mogoče, da bi na primer uporabnik Klika v dobri veri, da je odprl stran NLB, odprl njeno kopijo, lastnik strani pa bi podatke uporabil za krajo z njegovega računa?
Ali da bi pri plačilu s kreditno kartico enostavno ukradel številko in kodo?

Pithlit ::

Kot smo že ugotovili je to povsem mogoče, vendar le če do Klika (recimo) dostopaš prek neke tretje strani (recimo s slo-tech.com). Verjetnost je sicer majhna, vendar se povprečni uporabnik ponavadi obnaša kot ovčka in klika vse mogoče linke... tako da :'(. Spoofing nardi ogromno škode že v svoji najprimitivnejši obliki - email. To kar imamo tukaj je pa že kar rafinirana varianta...

Je pa res da sem jaz to le s firefox-om probal... ker pač sam zarad tega testiranja ne bi rad instaliral vseh sort brskalnikov.

BTW Microsoft, če tvoj brskalnik ni ranljiv pol se pač ne sekirat... ne pa zamerit če ti 99% folka k bere te komentarje ne verjame... Kot sem že rekel, super zate če je vse v redu.

P.S. Kolkr jest vem to niti ni browserjeva krivda ampak javaskript. Grem probat brez javaskript enabled...
Life is as complicated as we make it...

Pithlit ::

No ja... brez javaskript una slikca sploh ne dela... Tko da to ni ravno rešitev ... pa smajliji kle tud zgleda da ne :O

I feel dumb right now ;_;
Life is as complicated as we make it...

Microsoft ::

Glede Jave mam jst enejblano: Active scripting, Allow paste operations via script in Scripting of Java applets. Pac, stran dam v Trusted sites. Ce jo ne dam, pol sploh ne odpre okna.

Zdej, ce mi ne verjamete, je resitev, da to posnamem. Nimam kamere, mogoce si pa omislim program in 'posnamem' dogajanje na monitorju...


by Miha
s8eqaWrumatu*h-+r5wre3$ev_pheNeyut#VUbraS@e2$u5ESwE67&uhukuCh3pr
«
1
2


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Linux + wineHQ + pdf predogled

Oddelek: Operacijski sistemi
5693 (487) peko_deko
»

Poganjanje DOS in WIN programov v Linux-u ?

Oddelek: Operacijski sistemi
6911 (859) borchi
»

Birokrat in linux

Oddelek: Programska oprema
151656 (1515) Ferplay
»

CrossOver Office 3.0

Oddelek: Novice / Pisarniški paketi
412000 (2000) Jux
»

IBM pripravlja MS Office za Linux

Oddelek: Novice / Pisarniški paketi
162336 (2336) moj_nick

Več podobnih tem