Archive for octobre 2010

Operaico[CVE 2010-4045] Opera 10.62 Reloads and redirects can allow spoofing, universal cross site scripting and Command/code Execution


Opera-web-browser
Bonjour à tous,
Maintenant que notre vulnérabilité de remote code execution sur OPERA 10.62 est corrigée depuis plusieurs versions , nous pouvons enfin dévoiler quelques détails techniques à son sujet.
Le bug en question utilise la vulnérabilité de Cross domain scripting / Cross site scripting d’OPERA 10.62 découvert par Jordi Chancel dans le but d’injecter du code dans les configuration d’opera (OPERA:CONFIG).
L’injection de code sur les configuration d’OPERA est cependant plus compliqué et donne un résultat plus aléatoire que l’injection de code sur un domaine tiers.
Pour une exploitation universelle ( ce qui reste possible avec se genre d’exploit ) il faudrait néanmoins calculer la vitesse de navigation des visiteurs pour définir au mieux le temps nécessaire pour stopper le chargement de la page puis injecter le code malicieux.
Les restriction DEP et ASLR ne sont pas d’actualité pour les vulnérabilité d’exécution de commande ce qui laisse se genre d’exploit relativement dangereux et dans certains cas plus fiable qu’une vulnérabilité de corruption dont les résultats sont souvent plus aléatoires.
La mise en œuvre de cette vulnérabilité est pourtant relativement simple , il suffit de définir un document.write() sur l’évenement OnLoad de la page web , d’y injecter le code nécessaire au rechargement de cette meme page ( RELOAD() ) pour que celle-ci mène à une redirection ( il faut utiliser un langage serveur dans le but de changer le contenu de la page par une redirection au rechargement ).
Pour finir il faut stopper le chargement après un certain laps de temps
| setTimeout(« stop() »,XXXX); |
et donc injecter le code aboutissant sur l’exécution de code arbitraire.


Advisory: Reloads and redirects can allow spoofing and cross site scripting


octobre 6, 2010


Severity: Critical


Description
Scripts on a page are supposed to be restricted so that they can only interact with other pages from the same domain and security context. Carefully timed reloads and redirects, when combined with appropriate caching, can cause scripts to execute in the wrong security context in Opera. This allows cross site scripting (XSS). In some cases, the address bar will also show the address of the target page.


With minimal user interaction, this particular XSS vector may also be used to modify Opera’s configuration, and this may in turn be used to execute arbitrary code on the computer.


Opera’s response
Opera Software has released Opera 10.63, where this issue has been fixed.


[VIDEO1]Code Execution via Opera:config :

[VIDEO2]Address Bar Spoofing and Cross Domain Scripting / XSS

[VIDEO3]Code Execution via Opera:config sur Mac

Vulnérabilité reportée le 14/09/2010 sur Bugs.opera.com

PoC : http://www.alternativ-testing.fr/Research/Opera/Opera Location Bar Spoofing & Cross Domain Vulnerability 10.62/tddsdss6565682147testcase/


-Security Researcher Jordi Chancel