» »

Varnostna luknja v večini brskalnikov

Neowin - Pred nekaj dnevi je skupina Shmoo odkrila varnostno luknjo v večini spletnih brskalnikov, vendar na začudenje javnosti ne v Internet Explorerju. Tako so v nevarnosti vsi uporabniki, ki uporabljajo brskalnike, temelječe na motorju Gecko (Mozilla, Firefox, Camingo), Safari ali Opero. Luknja omogoča napadalcem prikriti katerokoli domeno. Vzrok za luknjo je podpora IDN (IDN med drugim omogoča nelatinske znake v URL-naslovu -- naprimer arabske), katero imajo vsi zgoraj našteti brskalniki, razen Internet Explorerja, za katerega pa obstaja vložek oziroma "plug-in", s katerim postanejo ogroženi tudi njegovi uporabniki.

Dokaz varnostne luknje.

Trenutno ni bilo uradno še nobenega odgovora s strani razvijalcev spletnih brskalnikov, je pa zelo verjetno, da bodo popravki izšli v roku enega tedna.

101 komentar

strani: « 1 2 3

RejZoR ::

To varnostno luknjo odpravite takole:

V URL vrstico napišite:
about:config

Poiščite tale vnos:
network.enableIDN

Ter ga iz true prestavite na false.
Zaprete okno in to je to :P
RejZoR's Flock of Sheep @ rejzor.wordpress.com

Phoebus ::

Dobro se vidi vsaj, kdo skrbi za svoje uporabnike:

Verisign: No response yet.
Apple: No response yet.
Opera: They believe they have correctly implemented IDN, and will not be making any changes.
Mozilla: Working on finding a good long-term solution; provided clear workaround for disabling IDN.

BTW kje so zdaj nasprotniki odprte kode? Pa naj argumentirajo tole če znajo.

Zgodovina sprememb…

  • spremenil: Phoebus ()

Myth ::

Končno ena vesela novica za uporabnike IE... :D
¤ Space is Mystery. And Myth is on Earth. ¤

ql000 ::

jap, dobim: "meeow", očitno zadeva pri meni "dela"!

Opera 7.54 na Suse 9.2.

Bo treba IE dat gor :P!

Phoebus ::

BTW najlepše se vidi če daste CTRL+U (view source) in pogledate na "naslov" okenčka. Tam se vidi pravo domeno. Itak da to ni uporabno ker ne bomo na vsaki strani tega gledali, ampak vidi se pa.

Matri[X] ::

Da razložim trditev Opere:
Vzrok za luknjo je v IDN standardu, katerega pa IE ne podpira, ker ima "svoje" standarde.

Jux ::

ne štekam te phoebus... kaj ma tuki odprta koda zraven? A hočeš povedat da je opera naredila mega potezo z izjavo da ne namreavoajo spreminjat ničesar? Navkljub temu da se lahko izvede spoof attack? To je isto kot če bi rekel, ni važno če stvar ne dela pravilo oz. ogroža uporabnike - mi sledimo specifikaciji in to je to.

Jst bi prej rekel da je pravilna poteza Mozzile, da se potrudijo in poskušajo preprečit ta spoof attack. Mislim, kaj ti koristi nek standard, če je z uradno implementacijo nekaj narobe in omogoča super napad na vsakega uporabnika. Jst še čakam na verisignov odgovor, pa čakam na odgovor ljudi ki so postavili IDN specifikacijo -> za obstoj tega napada se ve že nekaj časa in se nobeden ni zmigal (ker ni bilo potrebe, ker IE ni imel implementirano IDN) -> sedaj pa ljudje uporabljajo brskalnike ki sledijo standardom in očitno je da bo treba malo več previdnosti.
web&blog&etc: http://lukabirsa.com

Sergio ::

ja, in а je cisto lepo izgledajoci a. To zihr ni bug, je pa res, da je varnostna luknja.

Ampak kako jo obiti?
Tako grem jaz, tako gre vsak, kdor čuti cilj v daljavi:
če usoda ustavi mu korak,
on se ji zoperstavi.

Matri[X] ::

Revizija standarda.

bradek ::

FireFox 1.0 preko about:config NE spremeni parametra v config fajlu!

Za rocno spremembo v configu za FF1.0 imate navodila tu.

Zgodovina sprememb…

  • spremenil: bradek ()

smash ::

nimam teh problemov ker uporabljam MAXTHON-a :D

Poldi112 ::

Tega konkretnega nimas, imas pa drugih malo morje. Ampak vazno da si zadovoljen :)
-------------------------------------------------
Nočem foto avatarja. Hočem risan avatar.
-------------------------------------------------

HeMan ::

FireFox 1.0 preko about:config NE spremeni parametra v config fajlu!

Si zihr, ker meni dela.
http://www.youtube.com/user/Rozinaa

bradek ::

Hja, trije smo probali in trem ni delalo, kot tudi ne nekaterim, po porocanju strani ki je v linku novice. Rocno popravljanje parametrov pa deluje kot bi moralo.

Mogoce je kaka fora v buildu?

Poldi112 ::

Meni tudi deluje nastavitev v about:conf. Ko dam na false mi za oba linka rece, da ne obstajata.
Firefox 1.0
-------------------------------------------------
Nočem foto avatarja. Hočem risan avatar.
-------------------------------------------------

Gigabit ::

" BTW kje so zdaj nasprotniki odprte kode? Pa naj argumentirajo tole če znajo."
Sej ni kej za argumentirat, je blo že dost jasn povedan da te lukne ni v explorerju.
http://poptech.blogspot.com/2005/01/firefox-new-religion.html
schnecke.bombcar.com/random/kernelpanic.jpg , www.hinterlands.org/kp.jpg
Linux r0x!!!!!!!!111111oneone -> http://logo.cafepress.com/3/504443.jpg <-

PicNiK ::

IE nima "luknje" ker standarda sploh ne podpira.
Za ostale browserje pa itak niso krivi, da ima standard luknjo. Luknjo so dolzni popraviti izdajatelji standarda IDN.
Seznam SLO torrent trackerjev: torrenti.atwebpages.com

flipflop ::

Sem naredil tako kot pravi RejZoR in linka ne delata več.

DominusSLO ::

Tudi meni dela rejzor-jeva nastavitev-tnx.

Jst ::

Suse9.2:

Konqueror je tudi ranljiv na to foro.

V Firefoxu pa meni nastavitev v about:config reši težavo. Javi, da www.pa(nek čuden a)ypal.com ne obstaja.
Proton decay is a tax on existence.

Zgodovina sprememb…

  • spremenil: Jst ()

Gigabit ::

"IE nima "luknje" ker standarda sploh ne podpira."
Sej boljš da ga ne, če je luknast.
http://poptech.blogspot.com/2005/01/firefox-new-religion.html
schnecke.bombcar.com/random/kernelpanic.jpg , www.hinterlands.org/kp.jpg
Linux r0x!!!!!!!!111111oneone -> http://logo.cafepress.com/3/504443.jpg <-

ahac ::

To ni luknja. Tisti "a" pač ni naš a, ampak a v cirilici in zato gre za drug url.

Je pa sramotno, da IE, kot edini popularni browser IDN sploh ne podpira in spet zavira razvoj interneta. Američani pač. Boli njih, če hočem jaz šumnike v urlju.

Obstaja pa IDN plugin za IE. Naj kdo proba z tistim. ;)
This post is awesome. I should get a medal.

Poldi112 ::

Konqueror meni zatezi, da certifikat ni ok.
-------------------------------------------------
Nočem foto avatarja. Hočem risan avatar.
-------------------------------------------------

Gigabit ::

"To ni luknja. "
Novica prav da je. Pa ja ne bomo zdej nehal verjet novicam sam zato k so ga odprtokodci zasral?
http://poptech.blogspot.com/2005/01/firefox-new-religion.html
schnecke.bombcar.com/random/kernelpanic.jpg , www.hinterlands.org/kp.jpg
Linux r0x!!!!!!!!111111oneone -> http://logo.cafepress.com/3/504443.jpg <-

minmax ::

to je še kako luknja.

v standardu.


so pa te luknje a bitch to fix, ... problem je čisto enostaven, rešitev pa ne...
če hočemo unicode znake za urlje, so si nekateri podobni kot jajce, kar pomeni, da je mogoče uporabnika prevarat.

what to do ? ... izklopit unicode za urlje? maybe... sam potem bo več kot pol sveta zelo nesrečnega, ker se jih spet zajebava v glavo, komi so si priborili to...

kaki computer vision algoritmi za primerjanje izgleda urljev? not very feasible... itd itd... skratka, jeba.

giovanni_ ::

bo treba IE uporabljat spet
moč je v glavi
http://www.gorenak.com

DominusSLO ::

giovanni
Tako hudo pa spet ni.:D

gazda ::

mislim, crapy firefox 1.0 :) nikakor ne morem izklopiti IDN kljub posegu direkt v file. Ob vsakem restartu firefoxa mi spet deluje... grrr...;( No vsaj racunam lahko na hiter popravek :D

gazda ::

v kolikor koga zanima. "Pravi" URL , kamor redirecta je: www.xn--pypal-4ve.com, ce koga zanima IE.

Je pa ocitno tudi bug v Konqueror, ker javi da certifikat ni ok, ceprov je pravilen.:D

ahac ::

Ja.. luknja v standardu.
Brskalniki delajo čisto prav. Razen IE seveda. Ta ne dela nič. >:D
Če še prikaz strani izklopjo bo pa še bolj varen.

Verjetno je pa res najboljša rešitev, da te brskalnik nekako opozori, če je url tako sestavljen (kombinacija znakov, ki ne pašejo skupaj).
This post is awesome. I should get a medal.

64202 ::

Tocno ta exploit v slackwareu ne deluje, ker nima pravega fonta - 'a' zgleda kot en grd kvadratek v vseh browserjih :)
- konqueror (cert faila, bug ocitno:)
- mozilla
- firefox

ajagodnik ::

Na Konqueroru (suse 9.2) me ob vstopu na https stran opozori:

"Naslov IP gostitelja www.p?ypal.com se ne ujema tistemu, na katerega je izdan certifikat."
Namesto normalnega paypal, je prvi a pisan v nekem čudnem fontu, malo manjšem kot preostali url.

Na http pa je "meoww" :D

Mozilla 1.7.2 pa žmrkne pri obeh in spusti skozi.

Zgodovina sprememb…

mte ::

gazda: če file shraniš ko je firefox še odprt, ne bo delalo, ker ob izhodu naredi revert na fajlu od takrat, ko je bil odprt. isto velja za thunderbird. zapri firefox, uredi fajl, ga shrani, šele nato odpri firefox pa bi moglo delat..
lp

gazda ::

Meni tudi ce pri uganjenem firefoxu spreminjam v file-u nastavitve ne zloada novejsih. Oziroma, vedno pise da je na false, ampak url se vedno deluje.

Gigabit ::

"Brskalniki delajo čisto prav."
A si ti sploh prebral novico?

"Razen IE seveda. Ta ne dela nič."
Seveda ne, če ga ne uporablaš.

"Tocno ta exploit v slackwareu ne deluje, ker nima pravega fonta - 'a' zgleda kot en grd kvadratek v vseh browserjih :)"
Se prav je prednost linuxa u tem, da mu manjkajo črke.
http://poptech.blogspot.com/2005/01/firefox-new-religion.html
schnecke.bombcar.com/random/kernelpanic.jpg , www.hinterlands.org/kp.jpg
Linux r0x!!!!!!!!111111oneone -> http://logo.cafepress.com/3/504443.jpg <-

Zgodovina sprememb…

  • spremenilo: OwcA ()

ahac ::

Novico sem prebral, že ko je bila objavljena na Slo-compu.
Torej kar nekaj ur pred Slo-Techom.


Se prav je prednost linuxa u tem, da mu manjkajo črke.
Ravno toliko, kot je prednost IEja, da ne podpira IDN.
This post is awesome. I should get a medal.

RejZoR ::

No sej tisto moje je iz tehničnega vidika fix.
Spoofanih strani ne bo odprlo :P
Do pravega popravka je ta enostavna rešitev čist kul.
RejZoR's Flock of Sheep @ rejzor.wordpress.com

Kekec ::


To varnostno luknjo odpravite takole:

V URL vrstico napišite:
about:config

Poiščite tale vnos:
network.enableIDN

Ter ga iz true prestavite na false.
Zaprete okno in to je to :P


S tem še daleč nisi odpravil luknje, ampak si samo izklopu to opcijo ... luknja pa se vedno obstaja.

ahac ::

No.. in kako naj to "luknjo" odpravijo?
This post is awesome. I should get a medal.

Azrael ::

In kdo je bil tako [vstavi poljubno] in si je izmislil "standad", ki podpira v URL znake, ki niso znaki angleške abecede in številke?

Čemu naj bi to sploh koristilo, razen kakšnim lumpom, ki mogoče že veselo iskoriščjo to luknjo? Vidim še dodaten problem, da bo imel težave vsak, kdor bo želel napisati URL, ki ima nestandardne znake, če nima vklopljene ustrezne kodne tabele.

Lepo da MS gladko ignorira take neumnosti. Vsaj to.
Nekoč je bil Slo-tech.

CCfly ::

Opažam da uporabljaš ščž v svojih sporočilih, kljub temu da bi morala biti, po tvoji logiki, podpora našemu kodnemu naboru neumnost.
"My goodness, we forgot generics!" -- Danny Kalev

Gandalfar ::

Azrael: niti ni neumnost. Koncno bo prislo do moznosti, da imamo slo-teč.com namest tega cudnega tech

OwcA ::

Gandalfar, ne bodi polovičarski:

šljo-teč

;)
Otroška radovednost - gonilo napredka.

Gandalfar ::

ups :8)

Myth ::

Ja, MS nebi rad takih "glupih" strani podpiral... :P
Sem čisto na njihovi strani glede tega, že itak maš čudne naslove(da jih sploh ne omenjam). :D
¤ Space is Mystery. And Myth is on Earth. ¤

Tarzan ::

Komentar na Gigabit-ov odgovor...

"Razen IE seveda. Ta ne dela nič."
Seveda ne, če ga ne uporablaš.

"Tocno ta exploit v slackwareu ne deluje, ker nima pravega fonta - 'a' zgleda kot en grd kvadratek v vseh browserjih :)"
Se prav je prednost linuxa u tem, da mu manjkajo črke.


Točno toliko je prednost tega, da mu manjkajo črke, kot je prednost IE-ja, da se požvižga na vse standarde. Gre za popolnoma isto zadevo, No ja je razlika, črke lahko linux podpira, če ga pravilno nastaviš, IE pa veliko standardov ne podpira, pa če si to še tako močno želiš. Žalostno, kajne? Meni se zdi. Naj že enkrat izdajo novo verzijo IE-ja ter naj se končno nekoliko bolj držijo standardov.:\

Lepo da MS gladko ignorira take neumnosti. Vsaj to


Tale je pa tudi bosa. MS se ne požvižga samo na ta standard, MS se požvižga na takorekoč vsak standard, med drugimi tudi precej zelo uporabnih standardov, ki jih podpira vsak brskljalnik razen IE. Škoda, da ima tako število privržencev. Včasih so še nekaj naredili, ko je bil Netscape glavni... takrat so vsaj kaj pametnega skup spacali. No ja, upam, da se bo zadeva zdaj obrnila. IE počasi a vztrajno izgublja privržence. Mogoče se bo MS spet spravil k mizi in naredil browser, ki bo vreden tega imena.

Zgodovina sprememb…

  • spremenil: Tarzan ()

ender ::

minmax: rešitev bi bila verjetno tabela znakov, ki so podobni črkam v ASCII naboru, nakar bi brskalnik opozoril, če URL vsebuje enega teh znakov. Ni najbolj praktična rešitev, je pa verjetno najlažja za implementacijo.
There are only two hard things in Computer Science:
cache invalidation, naming things and off-by-one errors.

krho ::

@Azrael: Mislim, da je bil tisti smartass Verisign.

Švabi so zelo veseli: Müler:D
si.Mail odprto-kodni odjemalec elektronske pošte. - http://www.simail.si
Uredite si svojo zbirko filmov, serij in iger - http://xcollect.sf.net

RejZoR ::

Roko na srce,v življenju še nisem videl URL linka ki bi vseboval šumnik ali kakšen drug čuden znak. Pa sem obiskoval že vse mogoče in nemogoče strani. Torej izklop tega sranja do popravka ne bo prav nič škodil:\
RejZoR's Flock of Sheep @ rejzor.wordpress.com
strani: « 1 2 3


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Prve podrobnosti novega Internet Explorerja (strani: 1 2 )

Oddelek: Novice / Brskalniki
765280 (3403) njok
»

Nova luknja Internet Explorerja

Oddelek: Novice / Brskalniki
371598 (1598) Gigabit
»

Začasni popravek za varnejši splet z Microsoftovim Raziskovalcem Interneta

Oddelek: Novice / Varnost
161245 (1245) MrStein
»

Pretkan popravek za luknjo v IE

Oddelek: Novice / Varnost
151539 (1539) PicNiK
»

Virus, črv, luknja, virus, črv, luknja, luknja, luknja ...

Oddelek: Novice / Varnost
151523 (1523) BSD-jas

Več podobnih tem