Archive for octobre 2013

icon_firefox[CVE 2013-5593] Spoofing addressbar though SELECT element


  • Introduction :

Voici une vulnérabilité mélangeant ClickJacking et Location Bar Spoofing.
Dans mes recherches suivant la correction d’une plus ancienne vulnérabilité que j’avais reporté sur le navigateur Mozilla Firefox (MFSA 2012-75), je me suis alors pencher sur le fait que l’élément <select> pourrait sans doute permettre de mener des attaques de Spoofing d’URL et d’indication de connexion sécurisé et permettre parallèlement démontrer qu’il serait alors possible de mener a bien des attaques de type ClickJacking sur l’affichage d’une boite de dialogue WebRTC (permettant ainsi de prendre le contrôle de la webcam et du microphone d’un utilisateur piégé via une page web spécialement conçue exploitant cette vulnérabilité).

  • Explication :

1. Dans Mozilla Firefox, l’élément <select> peut contenir du code HTML et par conséquent contenir une image. il suffit donc de mettre en place l’image d’une fausse barre de location dans cet élément et définir que l’affichage de celui-ci se placera au dessus de la barre de location réelle.

concept en image :

faklocffxmsfa2013

 

2. Maintenant, voici quelques brèves explications supplémentaires portant sur la possibilité d’effectuer des attaques de type ClickJacking.
Comme démontré ci-dessus, l’élément <select> surplombe la réelle barre de location, il est donc aussi possible de couvrir l’affichage d’une demande d’activation de la webcam et du microphone ou encore la demande de géolocalisation et donc faire en sorte que celles-ci s’affiche de manière totalement invisible. Il ne reste plus qu’a inciter l’utilisateur a double cliquer sur l’élément <select> a l’emplacement ou se trouve le bouton de confirmation de la boite de dialogue caché. Pour être unpeu plus précis, le premier clique aura pour effet d’enlever l’affichage de l’élément <select> et par la suite cliquer sur le bouton de confirmation via le 2ème clique.

Concept en image :

faklocffxmsfa2013259472111428597729-few6

 

  • Vidéo de démonstration :

  • Description

Security researcher Jordi Chancel discovered a method to put arbitrary HTML content within <select> elements and place it in arbitrary locations. This can be used to spoof the displayed addressbar, leading to clickjacking and other spoofing attacks.

 

Security Researcher Jordi Chancel