ugrás a tartalomhoz

biztonsági rés a Flash technológiában?

zzrek · 2009. Nov. 14. (Szo), 10.48
Sziasztok!

Ezt olvastam:
Súlyos biztonsági rést találtak a Flash technológiában
(Néztem az ott linkelt computerworldos eredetit, de abban sem volt több)

Tulajdonképp mi akar ez lenni?
Mi az, hogy "megfelelően preparált Flash fájlt feltölteni képnek álcázva", hiszen a képet <img> taggal jelenítjük meg, a flasht meg teljesen máshogy, hogy jön ez ide? (Annyira lökött az összes böngésző, hogy img tagba tett swf-et is megjelenít? Mert akkor ez a hiba, ezt kell orvosolni)
De ráadásul még azt is írják, hogy:
"nem csak a Flasht érinti, de minden olyan rendszer sebezhető lehet, ami aktív scripteket engedélyez, mint a Javascript vagy a Silverlight"
Ezt úgy értik, hogy user által feltöltött javascript kód, vagy képnek álcázott javascript kód (???) is okozhat gondot???????

Mi lehet ez, tudott valaki többet kihámozni ebből?
Köszi!
‹ A web szavai magyarul Alkalmazás fejlesztés több irányba ›
 
1

Application Domain Policy

Udi · 2009. Nov. 14. (Szo), 12.54
Indexet mindig kétkedve olvass, mert közelebb van a bulvárhoz, mint a hihető forráshoz. A Computer World cikk is ködös, de ők linkelik az eredeti Foreground Security cikket, amiben a hiba valós működése le van írva. A hiba két tényezőből áll:

Az első az, hogy a Flash (és Silverlight és JavaScript stb.) engedélyezi az azonos domainen lévő hozzáférést. Tehát ha feltöltök egy Flash fájlt egy oldalra, akkor az már azon a domainen lesz, ahová feltöltöttem, tehát hozzáférhet ugyanazon a domainen lévő adatokhoz. A felhasználó számítógépéhez már bajosan, mert az nem ugyanaz a domain, az index cikk ebben a pontban elég rendesen ferdít.

A második pedig az, hogy a böngészők akkor is Flashként futtatják a fájlt, ha nem az a kiterjesztése. Ez inkább csak egy feltételezés, egyelőre Linuxon próbáltam átnevezni egy Flash fájlt, megnyitni FireFoxban, de csak kiírta az elérési utat, semmi tartalmat nem mutatott. Más operációs rendszeren és/vagy böngészőben ez másként működhet.

De tegyük fel, hogy sikeresen feljut egy ilyen Flash bármelyik domainre és le is futtatja egy nagyobb számú közönség. A Flash még mindig nem képes egyedül fájlok létrehozására/törlésére, ahhoz szüksége van valamilyen szerver oldali script meghívására, ha ilyenre viszont képes, akkor arra már más is képes volt korábban. Keylogging? Ezt nem tudom egyelőre elképzelni, mert végig aktívnak kell lennie a magának a Flashnek, miközben gépelek. Ha pedig kommunikálni akar egy idegen domainen lévő oldallal, elküldeni neki az adatokat, akkor felugrik egy ablak erre figyelmeztetve. Szerintem pánikolni nem kell, érdemes követni hová fejlődik ez a rés, de erős jelszavak, megfelelően korlátozott hozzáférési jogok továbbra is védenek.
3

Mi ebben az új?

zzrek · 2009. Nov. 14. (Szo), 13.44
Köszi a választ!

Ezek a veszélyek (XSS, stb) már régóta ismertek javascript és flash esetében is. De most mi ebben az új? Hogy jön a feltöltött képnek álcázott dolog a javascriptes vagy flash-es végrehajtáshoz?

Vagyis amit írtál az "első" hibaként abban nincs semmi új, amit pedig másodikként az pedig egyértelműen nem flash probléma, hanem böngésző biztonsági rés esetleg. Jól értem, hogy csak ennyi?
2

GIFAR inverz

janoszen · 2009. Nov. 14. (Szo), 13.01
...any file format in the ZIP family can have a SWF file prepended to it. This means that ZIP archives, self-extracting executables, Microsoft Office Open XML documents, XPI files, and, if you want to be ridiculous, even JAR files can all be crafted to contain executable SWFs.


http://www.foregroundsecurity.com/MyBlog/flash-origin-policy-issues.html
4

Próbáltam értelmezni...

zzrek · 2009. Nov. 14. (Szo), 13.57
...de nem értem teljesen:
Valaki feltölt tehát egy akármilyen álcázott fájt, ami swf. Aztán ki/mi fogja futtatni? A példában hogyan futott le a cPanel file managerében az swf?
6

Flash

janoszen · 2009. Nov. 15. (V), 22.39
Maga a Flash értelmező. Mert az végignézi a leírás szerint az összes embeddelt cuccot, hogy van-e abban neki tartalom.
7

Kell még egy link legalább, nem?

zzrek · 2009. Nov. 16. (H), 11.52
Szóval sikerül feltöltenünk egy jpg-nek álcázott swf-et. A felöltés után a szerveren van valahol, elérhető. Azám, de senki sem tudja hogy hol van, csak a szerver megjelenítője tudja más usernek a htmlkódjába a ráutalást beilleszteni.
Pl. mivel állítólag jpg-t töltöttünk fel, a szerver esetleg <img> taggal akarja megjeleníteni. Ekkor az a kérdés, hogy a böngészőben van-e hiba, és megjeleníti-e flashként (nem jellemző, ha igen, akkor a böngészőt kell patchelni, nem flash technológiai probléma)

Vagy a másik lehetőség, hogy mi magunk teszünk ki a usereknek a feltöltött ál-jpegről egy linket, hogy kattintsanak rá a gyanútlan emberkék: mivel a feltöltött swf a szerver domainjén van, ha megjelenik és lefut az swf értelmező, máris elkaptuk a usert.
De ezt is lehetne böngésző-patch segítségével orvosolni: ha nem egyezik a fájlkiterjesztés a fájltípussal, ne jelenítse meg a böngésző a beágyazatlan tartalmat és kész. (Vagyis ne adja át a böngésző a flash értelmezőnek, csak akkor ha swf...stb a kiterjesztése - de akkor semmiképp, ha jpg. Nem olyan bonyolult.)

Vagy van még más lehetőség? Máshogy is lefuthat más user gépén a kód?

Nekem nem úgy tűnik, hogy ez flash probléma lenne, a flash nem tudja detektálni, hogy önmaga user által feltöltött kód-e, vagy sem; nem kéne az Adobe-tól várni a megoldást.
Ehelyett szerintem ez is egy szimpla böngésző biztonsági rés.
9

Kipróbáltam

janoszen · 2009. Nov. 16. (H), 22.45
Kipróbáltam, úgy tűnik, hogy nagyobb a füst mint a láng. A Gmail esetében azért működött a dolog, mert volt még hozzá egy CSRF is.
5

egy érthető leírás

gex · 2009. Nov. 15. (V), 22.01
http://buhera.blog.hu/2009/11/14/flash_same_origin_problema
8

Köszi!

zzrek · 2009. Nov. 16. (H), 11.53
Köszi, tényleg hasznos volt.
10

Tiszta vizet...

vbence · 2009. Nov. 17. (K), 01.25
Soksok félreértés, elírás van a cikkben. Ki nem próbáltam ugyan, de az egyetlen módszer, amit el tudok képzelni:

1) Feltöltöd a flashedet a célpont weblapra. (Ismerned kell az elérési útját.)
2) A felhasználót a saját oldladra irányítod, ami tartalmazza a feltöltött SWF elérési útját és normál EMBED (vagy OBJECT?) taget használva hivatkozik a külső SWF-re.

Ekkor a kód nem a HTML oldal kontextusában (a támadó szervere), hanem az SWF-et tartalmazó szerver (célpont) kontextusában fog futni, így hozzáfér a cookie-khoz.

Amennyire én látom, sem több, sem kevesebb.

A cikk másik része azt próbálja bemutatni, hogy sok formátum a továbbfejleszthetőség érdekében megengedő. Tehát egy GIF fájl akkor is megfelel a szabványnak, ha a képi információkon kívül mást is tartalmaz. Gondoljunk csak az MP3 fájlokra, amiknek a végén szerepelhet az ID3 (v1) tag, amiről ha mit sem tud a lejátszó akkor is lejátszható a zene. Így tartalmazhatnak beágyazott SWF-et... azt hogy ennek lejátszására hogyan veszik rá a flash playert foglalmam sincs, mert az hétszentség, hogy OBJECT vagy EMBED taget használva a player nem fogja megkeresni a potenciálisan flash tartalmat mondjuk egy GIF fájlban.
11

...

carstepPCE · 2009. Nov. 17. (K), 11.36
+1
12

Védekezés

vbence · 2009. Nov. 17. (K), 12.28
Ha amit fent írtam helyes, akkor a védekezés (a szerver részéről) megoldható egy egyszerű referer check-kel, amit a hotlinkelés (bandwidth stealing) ellen amúgy is sok helyen használnak.
14

Esetleg átkonvertálással

zzrek · 2009. Nov. 17. (K), 16.07
Esetleg a feltöltött képek átkonvertálásával, zipek újratömörítésével stb. is eltüntethető minden odanemillő tartalom.
Azon gondolkodok még, hogy egy böngésző patch hogyan oldhatná meg a problémát (mert ugye ezt nem flash oldalról kéne javítgatni).
13

Ez érthető volt

zzrek · 2009. Nov. 17. (K), 16.02
Köszi, a te hozzászólásodban minden mondatot értettem, ez jól esett! ;-)