Archive for mars 2015

icon_firefox[CVE 2015-0810] Cursor clickjacking with flash and images


  • Introduction :

Voici encore une vulnérabilité de CursorJacking sur le navigateur web Mozilla Firefox exploitable sur Mac OS X. Comme la vulnérabilité CVE-2014-1539 Mozilla Foundation Security Advisory 2014-50 Clickjacking through cursor invisibility after Flash interaction , cette vulnérabilité permet elle aussi d’exécuter des malwares par le biais de l’exécution silencieuse d’un Addon XPI ou encore de prendre le contrôle de la webcam et du microphone.

  • Découverte de la vulnérabilité :

la découverte de cette vulnérabilité a été basé sur une approche et une programmation similaire à la vulnérabilité reporté par moi-même et corrigé en juin 2014 sur la version 30 de Mozilla Firefox (MFSA 2014-50 / CVE-2014-1539) mais avec tout de même une base dexploitation différente.

1. La première possibilité découverte consistait a rendre le curseur invisible et créer un décalage entre le réel curseur et sa copie (cependant le rendu invisible du curseur par un attribut CSS ne constitue pas une vulnérabilité, elle n’est utilisée que pour mettre en place la première partie de l’attaque), une fois cela mis en œuvre, l’utilisation d’un objet flash définissant le curseur comme invisible est donc nécessaire pour mener à bien l’exploitation désiré. L’objet flash devait être placé au même endroit où trouve le bouton d’activation de la webcam et du microphone dans la boite de dialogue WebRTC et ainsi inciter l’utilisateur a déplacer son curseur sur une zone apparemment éloigné de l’objet flash bien que le réel curseur soit donc en réalité sur cette objet, c’est une fois que cette boite de dialogue apparait que l’exploitation de cette vulnérabilité est mise en place, car en effet le curseur reste invisible bien qu’il se trouve sur le bouton d’activation de la webcam (qui ne fait donc pas partie de la page web).

2. La seconde exploitation possible découverte est quasi similaire a MFSA 2014-50  , l’exploitation en question ne diffère qu’en un seul point qui est lié a la sortie de l’objet flash par le curseur, permettant donc de rendre l’invisibilité de celui-ci persistante (À noter que les éléments utilisés entre MFSA 2014-50 et MFSA 2015-35 sont exactement identiques).

3. La troisième exploitation utilise une méthode d’ouverture d’onglet contenant l’objet flash adéquate (rendant le curseur invisible quand le curseur se trouve sur cet objet) et permet de rendre l’invisibilité du curseur persistante via l’utilisation de la fonction Alert() sur la page d’origine ayant ouvert l’onglet contenant l’objet flash.

 

  • Description :

Security researcher Jordi Chancel reported a mechanism that made cursor invisible through flash content and then replaced it through the layering of HTML content. This flaw can be in used in combination with an image of the cursor manipulated through JavaScript, leading to clickjacking during subsequent interactions with HTML content.

This flaw only affects OS X systems. Windows and Linux installations are unaffected.

Vulnerability demonstration (video):

Security Researcher Jordi Chancel