The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

В сети зафиксирован вредоносный код, поражающий неисправленную в Firefox уязвимость

27.10.2010 19:07

Разработчики Mozilla опубликовали экстренное уведомление, указывающее на наличие в Firefox 3.5.x и 3.6.x неисправленной критической "0-day" уязвимости, для которой зафиксированы факты эксплуатации. Уязвимость используется в сети для распространения троянского ПО, которое активируется на машине пользователя при открытии web-страницы, содержащей специально оформленный блок кода. Информация о процессе исправления ошибки и ее сути пока доступна только для зарегистрированных разработчиков Mozilla.

Примечательно, что троянское ПО распространяется через вполне благонадежные сайты, атакованные злоумышленниками. Например, атакующий код был размещен на сайте Нобелевской премии мира (сайт уже почищен). Так как вредоносный код остается на некоторых других сайтах в сети, пользователям рекомендуется до выхода официального обновления отключить JavaScript в настройках или установить дополнение NoScript. Информации о числе зараженных сайтов и пострадавших пользователей пока нет.

Согласно отчету антивирусной компании Trend Micro, вредоносное ПО поражает только Firefox 3.6.x в сборке для платформы Windows. При обнаружении запроса с браузера, запущенного в Windows 7, Windows Server 2008 или Windows Vista, вредоносное ПО по каким-то причинам не активирует троянский код, который выполняется только для Windows 2000/2003 Server/XP. После поражения, в систему устанавливается бэкдор BKDR_NINDYA.A, периодически опрашивающий ряд внешних серверов (используется 443 порт) на предмет получения управляющих команд.

Дополнение: выпущены обновления Firefox 3.6.12 и 3.5.15 с устранением данной уязвимости (переполнение кучи при одновременной смешанной вставке данных через document.write и appendChild).

  1. Главная ссылка к новости (https://blog.mozilla.com/secur...)
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/28436-security
Ключевые слова: security, firefox
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (18) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, dimqua (ok), 19:20, 27/10/2010 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +2 +/
    > который временно занесен в черный список Firefox

    nobelprize. org

    А у меня прекрасно открывается.

    P.S. юзаю NoScript

     
  • 1.5, тоже Аноним (ok), 19:34, 27/10/2010 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –1 +/
    Новость об уязвимости, ОС не указана - т.е. уязвимость в самом FF, и использована она может быть по-разному.
    Последний абзац, прилепленный к новости - ОДИН ИЗ случаев использования этой дыры. Так что его успокоительный тон неуместен и вводит в заблуждение.
     
  • 1.6, ozs (ok), 19:35, 27/10/2010 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    >>Согласно отчету антивирусной компании Trend Micro, вредоносное ПО поражает только Firefox 3.6.x в сборке для платформе Windows XP (для Windows 7 и Vista вредоносное ПО не активирует троянский код).
     
     
  • 2.19, none_first (ok), 20:30, 27/10/2010 [^] [^^] [^^^] [ответить]  
    		• +/
    нет там слова XP ;)
    According to Mozilla, the underlying flaw is present in both Firefox 3.5 and 3.6, but only recent versions of 3.6 were targeted by JS_NINDYA.A. In addition, if the user is running newer versions of Windows (such as Vista, Windows 7, Server 2008, and Server 2008 R2), the exploit will not be triggered either.

    есть тока "более новые" и перечисление (а с какой начинается - не указано)

     

  • 1.13, Аноним (-), 19:54, 27/10/2010 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Ы. Как насчёт поражения не Windows?
     
     
  • 2.28, тоже Аноним (ok), 22:54, 27/10/2010 [^] [^^] [^^^] [ответить]  
    		• –4 +/
    А вы в "не Windows" запускаете FF под рутом?
    Тогда запущенный им "произвольный код" может установить вам бэкдор.
    Причем безотносительно к этой новости. Эта дыра - не первая и не последняя.
     
     
  • 3.29, uldus (ok), 23:24, 27/10/2010 [^] [^^] [^^^] [ответить]  
    		• +6 +/
    > А вы в "не Windows" запускаете FF под рутом?

    В Linux можно и без рута прописаться в cron, .profile или .desktop обычного пользователя и успешно рассылать спам с его машины и участвовать в DDoS атаках. Для большинства функций бэкдора - главное сеть, а на привилегии в локальной системе наплевать, не нужен ему root и локальные файлы. Если что и интересно для трояна - это сохраненные пароли в ftp-клиенте и браузере, но они как раз прекрасно доступны и без рута, единственное препятствие, что сетевой интерфейс в promiscuous режим не перевести и чужие пароли в локальной сети не посниффить.

     
     
  • 4.30, sHaggY_caT (ok), 00:02, 28/10/2010 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    >В Linux можно и без рута прописаться в cron, .profile или .desktop обычного пользователя

    После первого такого случая популярные дистрибутивы включат в поставку и активизируют по-умолчанию профили apparmor для FF, и Sandbox для SELinux, и FireFox больше не сможет прописываться в крон (а то и вообще делать левые exec(),), править .profile, .bachrc, и пр. файлы, а так же пользоваться сетью неразрешенным образом(например, зачем FF соединяться с dest 25 портом :)? ) в хомяке пользователя без высочайшего на то пользовательского разрешения.

     
  • 4.31, тоже Аноним (ok), 00:07, 28/10/2010 [^] [^^] [^^^] [ответить]  
    		• +/
    Согласен, в любой системе можно сделать многое и из-под пользователя. В Linux труднее спрятаться, чем в реестровом дереве, да и административные права у Windows-пользователей доступны так часто, что грех не воспользоваться.
    Однако пока линуксоиды могут не слишком волноваться и не устраивать вокруг браузера песочницу. А когда придет реальная опасность - вполне выручит правило "у пользователя не пересекаются права на запись с правами на исполнение"... и трояны не пройдут ;)
     
     
  • 5.34, XoRe (ok), 13:49, 28/10/2010 [^] [^^] [^^^] [ответить]  
    		• +/
    > В Linux труднее спрятаться, чем в реестровом дереве

    Сделайте на десктопе:
    ls -lad ~/.*
    Список папок, куда вы почти никогда не заглядываете.
    Или ещё лучше:
    ls -la ~/.mozilla/firefox/*/extensions
    Папка с именем {3d1db24f-2740-49df-8937-200b1cc08f8a} вам мало что скажет.

    Так что... все можно)
    Но в *nix просто гораздо больше тупых и эффективных (как топор) средств против вирусов.
    Например, такое тупое и эффективное средство, как монтирование /home с опцией noexec.
    А ещё есть nodev, nosuid и т.д.
    Но софт я бы качал только с нормальных источников.

     
     
  • 6.37, тоже Аноним (ok), 19:14, 28/10/2010 [^] [^^] [^^^] [ответить]  
    		• +/
    > Список папок, куда вы почти никогда не заглядываете.

    Что-то из этих папок само загрузится без того, чтобы прописаться в перечисленные выше места? В реестре же довольно много мест, куда можно прописаться, и винды это автоматически запустят.

    > Папка с именем {3d1db24f-2740-49df-8937-200b1cc08f8a} вам мало что скажет.

    Это же не IE, чтобы выяснять, какие расширения он мне не показывает: Menu - Tools - Add-ons - Extensions выдает полный и вполне читаемый список.

    > Например, такое тупое и эффективное средство, как монтирование /home с опцией noexec.

    А вот с этим согласен настолько, что сам выше об этом и говорил ;)

     

  • 1.23, Аноним (-), 21:09, 27/10/2010 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    В 3.6.12 еще не исправили?
     
     
  • 2.25, Аноним (-), 21:22, 27/10/2010 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    > В 3.6.12 еще не исправили?

    НЕТ!!!

     

  • 1.32, alexmest (ok), 02:51, 28/10/2010 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    А что мешает в той же ХР, работать под обычным непривилегированным пользователем? Или только и знаем слово "Администратор"?
     
     
  • 2.33, sanDro (ok), 07:43, 28/10/2010 [^] [^^] [^^^] [ответить]  
    		• +3 +/
    >>     А что мешает в той же ХР, работать под обычным непривилегированным пользователем? Или только и знаем слово "Администратор"?

    Тем, что там получение привилегий администратора из под обычного пользователя сделана людьми не дружащими если не с головой, то с администрированием системы, так точно.

     
  • 2.35, XoRe (ok), 13:50, 28/10/2010 [^] [^^] [^^^] [ответить]  
    		• +/
    > А что мешает в той же ХР, работать под обычным непривилегированным пользователем?
    > Или только и знаем слово "Администратор"?

    Так это надо этого пользователя создать)
    А там при установке все потакает созданию 1 юзера-админа.

     
     
  • 3.38, тоже Аноним (ok), 19:21, 28/10/2010 [^] [^^] [^^^] [ответить]  
    		• +/
    > Так это надо этого пользователя создать)
    > А там при установке все потакает созданию 1 юзера-админа.

    Это только начало. Потом окажется, что пользователи не могут владеть папками и файлами (почему?!), что программы, нужные для работы, хотят стоять в Program Files и при этом писать себе "под ноги" свои ini-файлы... И что "простой доступ к файлам и папкам" отнюдь не означает, что у пользователя будет к ним простой доступ. Это означает, что у админа будут лишние действия в процессе назначения прав и разрешений.
    В общем, действительно - систему делали не администраторы...

     

  • 1.36, User294 (ok), 16:32, 28/10/2010 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –1 +/
    Уже обновление выпустили походу.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру