Bug#497789: security bug on iceweasel
Firstly, a rough translation of the previous mail for non-Italian readers: She doesn't like the fact that the report was closed as not-a-bug, stating that there are enough elements to prove it. The first point here is that she says that new fake windows/frames hijacked the workspace, interpreting that as a window spoofing attack [1]. She adds that it isn't related to single rogue site, but it happens on all sites with frames (citing gmail, yahoo, and various other webmail). The second issue she reports (maybe related) is that the flash call fscommand() could be not safe, letting a malicious app the ability to invoke program on the target host (in the first mail she report part of the log of a network sniffer, during a SMB domain enum). She suggest to fix the bug and implement an ip-based filter to avoid the attack (here descibed as a mix of Man-in-the-middle and tcp-connection injecting by a third party host). Then my comments: Firstly, the SMB enum is completely unrelated to this report, and I think the reporter just mixed what is an internal SMB traffic with which is usually called resource enumeration on an attacked host. Then, the part regarding the ip-source check could be ignored, as she's probably missing some fundamentals on the protocol (ie. here there isn't any injection at tcp-level). Coming back to browser issue, this is clearly a mixture of flash/swfdec behavior and iceweasel own rendering. Judging from the screenshot, she's using swfdec; looking at the source, both swfdec and gnash doesn't fully support fscommand(), but only a minor and safe subset (ie. quit and such). So actually this shouldn't pose a security problem (it could be relevant with the proprietary plugin, though I can't really say if fscommand() works without limits on linux, and what we could do for that). Secondly, I won't say she's experiencing a window spoofing attack. The only thing I can desume from the screenshot is a probably strange rendering and disposition of some iframed sites, which could be due to the embedded flash object, plus two unnamed windows which should be something external (swf object players or such). I really doubt that an intelligent user could be tricked this way by a specifically crafted website (or, anyway, we can't do much more to technically fix a human problem). Many details of the report are anyway obscure, so I had to add some own assumptions and interpretations to reach those conclusion. More details and specific info are welcome, if I've missed some points. I would agree with Cristoph closing this report as it isn't a bug in iceweasel, nor in any free flash player. In the end, I would agree with Luca, as I've already meet her on many mailing (eg. debian-italian, cc-italian, debian-user both under her real name and the nickname heba) and she has already proven to a be a mixture of uncollaborative troll and an egocentric security paranoid person, who is laking deep knowledge on certain fields and tends to correlate unlinked events to describe them all as a security attack in place (I could link previous threads here, but this isn't the main point of the bug report). Her second mail in italian was almost confuse as the first english one, plus adding some sarcastic comments that I personally didn't like (but I won't really engage an harsh discussion here). Nonetheless, I tried to be objective and inspected the issue from a neutral POV. Eric, please read all the above comments and decide by yourself. Cheers, Luca [1] http://www.mikx.de/firespoofing/ -- .''`. ** Debian GNU/Linux ** | Luca Bruno (kaeso) : :' : The Universal O.S.| lucab (AT) debian.org `. `'` | GPG Key ID: 3BFB9FB3 `- http://www.debian.org | Debian GNU/Linux Developer pgpjuuc98jm0Z.pgp Description: PGP signature
Bug#497789: security bug on iceweasel
buongiorno, si avvisa che la presente è stata scritta senza polemica di sorta. Il 25/10/08, Luca Bruno[EMAIL PROTECTED] ha scritto: Ciao, sembra esserci stata qualche incomprensione riguardo la segnalazione iniziale, per cui non riesco a capire dalla tua prima mail in inglese i dettagli del problema (e come me anche Christoph). questo è probabile, ma se non si è capito basta dire I misunderstood, can you rephrase please?, che mi sembra più corretto nei rapporti interpersonali che non un non c'è nulla da fissare in iceweasel che è quello che mi è stato detto e che mi fa sembrare non solo stupida ma pure visionaria e dato il log dello sniffer e le immagni inviate non mi sembra che non vi sia un baco in iceweasel. Quindi se dobbiamo parlare parliamo in modo corretto per cortesia, mi sembra il minimo tra informatici adulti, poi se dobbiamo far passare le persone per stupide e dire che non ci sono bachi e che il problema sta tra la sedia ed il video, come fanno in una nota società informatica closed source, facciamo pure. questo per quanto riguarda il messaggio del sig. Crhistoph. Ti chiederei quindi di esporre più dettagliatamente in italiano il problema che hai riscontrato, così che mi/ci sia più facile capire di cosa si tratta. In particolare sotto quali condizioni hai riscontrato il problema e in cosa consiste l'attacco alla sicurezza. Chiedo scusa ho utilizzato un linguaggio tecnico di sicurezza informatica corrente e in inglese tali attacchi si chiamano. windows spooffing (spoffing delle finestre, che sono le immagini che vi ho postato) enumeration (le enumerazioni, vedi il log dello sniffer che è scritto addirittura in italiano) poi ce ne sono altre ma finirei per fare una lezione di sicurezza informatica, ma non mi sembra questo il posto adeguato per le lezioni, ho altri posto dove faccio questo regolarmente. Scusa non capisco la frase in quali condizioni hai riscontrato il problema provo comunque a rispondere. non c'è un momento preciso in cui vi è questo attacco. Non dipende dal sito in cui sono, visto che quello che ho postato è solo un esempio e dalle immagini si nota perfettamente che un frame è stato staccato dal sito, si vede una parte della finestra sottostante che non dovrebbe essere visibile ed il frame che fluttua sulla finestra attiva è ben visibile. (spooffing delle finestre). E non sono io a decidere quando viene fatto l'attacco. E comunque, se sapessi che dipendesse da un sito in particolare e non da altri avrei contattato il webmaster del sito, invece succede anche con le caselle di posta, gmail, yahoo, qualunque sito con frame. Le schermate che hai allegato possono essere interpretate in diverse maniere, quindi mi piacerebbe anche avere un commento sul dettaglio fondamentale che ciascuna cerca di evidenziare. Le immagini che ho allegato possono essere abbinate solo ed esclusivamente ad uno windows spoffing in italiano se ti suona meglio spooffing delle finestre anche perchè i frame ancorati dei siti non si spostano da soli, vedi immagini. Inoltre non ho colto il passaggio tra il problema del plugin flash e quel che tu descrivi come sniffing e spoofing; ti spiacerebbe illustrarmelo meglio? è il plugin flash che ha un baco, il lamer utilizza la procedura fscommand per accedere al browser, invia un qualunque comando al sistema, anche a basso livello come mostrato nel log dello sniffer perchè le enumerazioni avvengono a basso livello e non di certo ad alto, ed effettua spoofing delle finestre, attacchi DoS, attacchi DDoS, enumerazioni, blocchi dello schermo, blocco di xorg o altro ancora, sono infinite le possibilità una volta acceduto da browser al sistema. Perchè succede? Perchè il sistema vede una richiesta dal browser e dice è un'applicazione fidata, arriva dal browser, è mio amico il browser ed ecco che cede le difese e dice prendi pure tutto quello che vuoi, caro peccato che non è il browser a chiederlo. Ecco perchè vi ho suggerito, oltre alla risoluzione del baco, di aggiungere una procedura che identifichi l'ip del pacchetto entrante in modo che se non arriva dal sito attivo in quel momento la procedura lo blocca in automatico e si prevengono in sostanza qualunque tipo di attacco. Ossia, attivo la navigazione entrando in (esempio): www.debian.org il pacchetto parte ed arriva al mio browser, visualizzo il sito. Il pacchetto ritorna ad internet, mentre ciò accade il lamer prende il pacchetto lo spooffa e cerca di rimandarmelo indietro. Se ho la procedura che ho descritto prima, il browser identifica che l'ip del pacchetto spooffato non arriva dal sito originale (www.debian.org), ma da un altro ip. Il browser blocca il pacchetto spooffato in arrivo e rigetta indietro il pacchetto al mittente. Il pacchetto reale e vero dovrebbe ritornarmi indietro regolarmente una volta che il pacchetto finto è stato bloccato. Cordialmente Micaela Gallerini -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble?
Bug#497789: security bug on iceweasel
Ciao, sembra esserci stata qualche incomprensione riguardo la segnalazione iniziale, per cui non riesco a capire dalla tua prima mail in inglese i dettagli del problema (e come me anche Christoph). Ti chiederei quindi di esporre più dettagliatamente in italiano il problema che hai riscontrato, così che mi/ci sia più facile capire di cosa si tratta. In particolare sotto quali condizioni hai riscontrato il problema e in cosa consiste l'attacco alla sicurezza. Le schermate che hai allegato possono essere interpretate in diverse maniere, quindi mi piacerebbe anche avere un commento sul dettaglio fondamentale che ciascuna cerca di evidenziare. Inoltre non ho colto il passaggio tra il problema del plugin flash e quel che tu descrivi come sniffing e spoofing; ti spiacerebbe illustrarmelo meglio? Grazie, Luca (Basically asking for a more complete report in Italian, hoping that's easier to understand) -- .''`. ** Debian GNU/Linux ** | Luca Bruno (kaeso) : :' : The Universal O.S.| lucab (AT) debian.org `. `'` | GPG Key ID: 3BFB9FB3 `- http://www.debian.org | Debian GNU/Linux Developer pgpgrRWAiY8fg.pgp Description: PGP signature
