Gbitten

Acabei de ler um ataque bastante interessante que utiliza o protocolo jar e afeta o Firefox. A vulnerabilidade era tratada de forma confidencial pela fundação Mozilla, mas virou pública quando Petko D. Petkov a descobriu de forma independente e divulgou em seu site. Exemplificando o ataque:

1. Em um ataque de Cross-Site-Scripting (XSS), o atacante induz a vítima a executar um javascript malicioso a partir de um site (ex: www.foo.bar). Para isso, o atacante prepara um arquivo no formato zip (ex: foo.zip). No arquivo zip, deverá conter um arquivo html (ex: foo.html) que por sua vez possui o código javascript malicioso.
2. O site www.foo.bar é um sistema que permite seus usuários fazerem upload de arquivos. Este tipo recurso é comum em sistemas web tais como bulletin boards, webmails, site colaborativos, etc. O Atacante então faz o upload do arquivo zip para o site. O arquivo ficara armazenado, por exemplo, na url:

   http://www.foo.bar/upload/foo.zip

3. Feito isso, o atacante, através de engenharia social, induz a vítima a abrir no Firefox uma url deste tipo:

   jar:http://www.foo.bar/upload/foo.zip!/foo.html

4. A inocente vítima vai clicar na url, e o Firefox fará o resto. Ele vai abaixar o arquivo foo.zip, deste irá extrair o arquivo foo.html, que será exibido pelo navegador. Ao exibi-lo, o Firefox executará o código javascript malicioso contido no arquivo. O Firefox entende que aquele código javascript é originário do site www.foo.bar, e que portanto terá acesso aos cookies deste site, poderá fazer get e post também para este site, até mesmo manipular suas páginas.

Este é um bom exemplo de como novas tecnologias (no caso o suporte ao protocolo jar) podem trazer riscos novos a um ambiente. Para mais informações seguem os enlaces abaixo:

• Web Mayhem: Firefox’s JAR: Protocol issues
• Bugzilla@Mozilla – Bug 369814

Update: O bug foi corrigido.

Marcadores: Firefox