icon_firefox[CVE 2015-7185] Firefox for Android addressbar can be removed after fullscreen mode


Firefox for Android addressbar can be removed after fullscreen mode


Announced: November 3, 2015
Reporter: Jordi Chancel
Impact: Moderate
Products: Firefox
Fixed in: Firefox 42


Description

Security researcher Jordi Chancel reported when Firefox
for Android exits fullscreen mode, it can be induce through script to not restore the
addressbar when the window is redrawn in normal mode. This could allow an attacker to
spoof the addressbar with their own content.


This issue only affects Firefox for Android. Firefox on other operating systems is not affected.


Vulnerability demonstration (video):

icon_firefox[CVE 2015-4476] Site attribute spoofing on Android by pasting URL with unknown scheme


Site attribute spoofing on Android by pasting URL with unknown scheme


Announced: September 22, 2015
Reporter: Jordi Chancel
Impact: Moderate
Products: Firefox
Fixed in: Firefox 41


Description

Security researcher Jordi Chancel reported that on Firefox for
Android, when a URL is pasted with an unknown protocol, such assecure: orhttpz:,
the pasted URL is shown in the addressbar but no navigation occurs.
Other addressbar attributes present before this pasted URL is entered will continue to be
rendered. This could lead to potential spoofing by a malicious site.


This issue only affects Firefox for Android and does not affect Firefox on OS X, Linux, or Windows operating systems.


Vulnerability demonstration (video):

icon_firefox[CVE 2015-0810] Cursor clickjacking with flash and images


  • Introduction :

Voici encore une vulnérabilité de CursorJacking sur le navigateur web Mozilla Firefox exploitable sur Mac OS X. Comme la vulnérabilité CVE-2014-1539 Mozilla Foundation Security Advisory 2014-50 Clickjacking through cursor invisibility after Flash interaction , cette vulnérabilité permet elle aussi d’exécuter des malwares par le biais de l’exécution silencieuse d’un Addon XPI ou encore de prendre le contrôle de la webcam et du microphone.

  • Découverte de la vulnérabilité :

la découverte de cette vulnérabilité a été basé sur une approche et une programmation similaire à la vulnérabilité reporté par moi-même et corrigé en juin 2014 sur la version 30 de Mozilla Firefox (MFSA 2014-50 / CVE-2014-1539) mais avec tout de même une base dexploitation différente.

1. La première possibilité découverte consistait a rendre le curseur invisible et créer un décalage entre le réel curseur et sa copie (cependant le rendu invisible du curseur par un attribut CSS ne constitue pas une vulnérabilité, elle n’est utilisée que pour mettre en place la première partie de l’attaque), une fois cela mis en œuvre, l’utilisation d’un objet flash définissant le curseur comme invisible est donc nécessaire pour mener à bien l’exploitation désiré. L’objet flash devait être placé au même endroit où trouve le bouton d’activation de la webcam et du microphone dans la boite de dialogue WebRTC et ainsi inciter l’utilisateur a déplacer son curseur sur une zone apparemment éloigné de l’objet flash bien que le réel curseur soit donc en réalité sur cette objet, c’est une fois que cette boite de dialogue apparait que l’exploitation de cette vulnérabilité est mise en place, car en effet le curseur reste invisible bien qu’il se trouve sur le bouton d’activation de la webcam (qui ne fait donc pas partie de la page web).

2. La seconde exploitation possible découverte est quasi similaire a MFSA 2014-50  , l’exploitation en question ne diffère qu’en un seul point qui est lié a la sortie de l’objet flash par le curseur, permettant donc de rendre l’invisibilité de celui-ci persistante (À noter que les éléments utilisés entre MFSA 2014-50 et MFSA 2015-35 sont exactement identiques).

3. La troisième exploitation utilise une méthode d’ouverture d’onglet contenant l’objet flash adéquate (rendant le curseur invisible quand le curseur se trouve sur cet objet) et permet de rendre l’invisibilité du curseur persistante via l’utilisation de la fonction Alert() sur la page d’origine ayant ouvert l’onglet contenant l’objet flash.

 

  • Description :

Security researcher Jordi Chancel reported a mechanism that made cursor invisible through flash content and then replaced it through the layering of HTML content. This flaw can be in used in combination with an image of the cursor manipulated through JavaScript, leading to clickjacking during subsequent interactions with HTML content.

This flaw only affects OS X systems. Windows and Linux installations are unaffected.

Vulnerability demonstration (video):

Security Researcher Jordi Chancel

icon_firefox[CVE 2014-1539] Clickjacking through cursor invisibility after Flash interaction


  • Introduction :

Dans la mise à jour de Mozilla Firefox 30 ma vulnérabilité de CursorJacking/ClickJacking à été corrigé avec un impact défini comme Haut (sec-high).

D’après les démonstrations que j’ai développées, cette vulnérabilité permet dans un premier temps de rendre le curseur invisible et de duper l’utilisateur via la mise en place d’un faux curseur se déplacent parallèlement au curseur réel avec un décalage entre eux ce qui permet donc a un attaquant de mener des attaques de Clickjacking en trompant l’utilisateur quand à l’endroit ou il clique en réalité.

  • Conclusion :

Avec cette vulnérabilité, plusieurs possibilités d’attaques sont envisageable comme le fait de mener une attaque de clickjacking sur l’Addon Prompt,permettant ainsi d’exécuter des programmes malveillants ,ou encore de prendre de contrôle de la webcam et du microphone via le WebRTC dialog, et encore beaucoup d’autres attaques.

  • Description

Security researcher Jordi Chancel reported a mechanism where the cursor can be rendered invisible after it has been used on an embedded flash object when used outside of the object. This flaw can be in used in combination with an image of the cursor manipulated through JavaScript, leading to clickjacking during interactions with HTML content subsequently. This issue only affects OS X and is not present on Windows or Linux systems.

Vulnerability demonstration (video):

 -Security Researcher Jordi Chancel

[Opera Security Advisory DNA-19280] Address bar spoofing with Data URIs


Advisory: Address bar spoofing with Data URIs


UPDATE Link: http://www.opera.com/blogs/security/2014/05/security-changes-opera-21/


Announced: May 6, 2014
Reporter: Security researcher Jordi Chancel
Impact: Low
Products: Opera
Fixed in: Opera 21


Description

When a user chooses to open a link in a new tab, this should still display the address as normal. However, with Data URIs, Opera would accidentally right-align the address field, showing the wrong end of the address. Again, this could allow a specially crafted URL to show what appeared to be a domain name, but which was actually path data. As with the previous bug, it would be missing the domain highlight, but may be enough to fool some users.

Opera’s Response

Opera Software has released Opera 21, where this issue has been fixed.


Credits

Reported by Jordi Chancel.


  • Vidéo de démonstration :


-Security Researcher Jordi Chancel

[Opera Security Advisory DNA-18345] Address bar spoofing with downloads


Advisory: Address bar spoofing with downloads


UPDATE Link: http://www.opera.com/blogs/security/2014/05/security-changes-opera-21/


Announced: May 6, 2014
Reporter: Security researcher Jordi Chancel
Impact: Low
Products: Opera
Fixed in: Opera 21


Description

This unrelated bug only occurred when the user dragged and dropped a URL into the address bar, which started a download. The address bar would then be right aligned, showing the wrong end of the address. This could allow a specially crafted URL to show what appeared to be a domain name, but which was actually path data. It would be missing the domain highlight, but may be enough to fool some users.
Simultaneously, it would leave the address bar in edit state, showing the download address instead of the address of the currently displayed page. Since the user may not realise that they had changed the address and put the address bar into edit state, we have now changed this to show the address of the displayed page. We’ll go into more details about this issue in a future blog post.

Opera’s Response

Opera Software has released Opera 21, where this issue has been fixed.


Credits

Reported by Jordi Chancel.

icon_firefox[CVE 2014-1480] UI selection timeout missing on download prompts


  • Introduction :

La mise à jour du Navigateur Web Mozilla Firefox vers la version 27 à corrigée une vulnérabilité que j’avais dernièrement reporté et permettant d’effectuer des attaques de ClickJacking sur la boite de dialogue d’exécution et de téléchargement de fichiers.

Avec cette vulnérabilité il est donc possible d’exécuter des fichiers potentiellement dangereux après leur téléchargement via une attaque de ClickJacking.

  • Conclusion / Détails supplémentaires :

Sur Mac Os X le danger est plus élevé du fait qu’il est possible d’exécuter des fichiers DMG pouvant prendre l’apparence d’une fenêtre de Firefox ouverte sur une page à l’aspect sécurisé et contenant des fichiers dangereux pouvant être exécutés par l’utilisateur pensant donc que ces fichiers sont des liens web destiner à mettre à jour Firefox (plusieurs autres possibilités existent comme par exemple le téléchargement et l’exécution d’un fichier quelconque visant a exploiter une vulnérabilité d’exécution de code arbitraire localement par le biais d’une faille se trouvant sur le logiciel qui permet a ce fichier d’être ouvert [.doc/.pdf/…] ).

  • Description

Security researcher Jordi Chancel reported that the dialog for saving downloaded files did not implement a security timeout before button selections were processed. This could be used in concert with spoofing to convince users to select a different option than intended, causing downloaded files to be potentially opened instead of only saved in some circumstances.

  • Vidéo de démonstration :


Security Researcher Jordi Chancel

[CVE-2014-1870] Address bar spoofing on Mac platform with drag and drop


Advisory: Address bar spoofing on Mac platform with drag and drop


CVE-ID: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-1870


UPDATE Link: http://www.opera.com/blogs/security/2014/01/security-changes-features-opera-19/


Announced: January 31, 2014
Reporter: Security researcher Jordi Chancel
Impact: Low
Products: Opera
Fixed in: Opera 19


Description

Opera before 19 on Mac OS X allows user-assisted remote attackers to spoof the address bar via vectors involving a drag-and-drop operation.

Opera’s Response

Opera Software has released Opera 19, where this issue has been fixed.


Credits

Reported by Jordi Chancel.


  • Vidéo de démonstration :


-Security Researcher Jordi Chancel

icon_firefox[CVE 2013-5593] Spoofing addressbar though SELECT element


  • Introduction :

Voici une vulnérabilité mélangeant ClickJacking et Location Bar Spoofing.
Dans mes recherches suivant la correction d’une plus ancienne vulnérabilité que j’avais reporté sur le navigateur Mozilla Firefox (MFSA 2012-75), je me suis alors pencher sur le fait que l’élément <select> pourrait sans doute permettre de mener des attaques de Spoofing d’URL et d’indication de connexion sécurisé et permettre parallèlement démontrer qu’il serait alors possible de mener a bien des attaques de type ClickJacking sur l’affichage d’une boite de dialogue WebRTC (permettant ainsi de prendre le contrôle de la webcam et du microphone d’un utilisateur piégé via une page web spécialement conçue exploitant cette vulnérabilité).

  • Explication :

1. Dans Mozilla Firefox, l’élément <select> peut contenir du code HTML et par conséquent contenir une image. il suffit donc de mettre en place l’image d’une fausse barre de location dans cet élément et définir que l’affichage de celui-ci se placera au dessus de la barre de location réelle.

concept en image :

faklocffxmsfa2013

 

2. Maintenant, voici quelques brèves explications supplémentaires portant sur la possibilité d’effectuer des attaques de type ClickJacking.
Comme démontré ci-dessus, l’élément <select> surplombe la réelle barre de location, il est donc aussi possible de couvrir l’affichage d’une demande d’activation de la webcam et du microphone ou encore la demande de géolocalisation et donc faire en sorte que celles-ci s’affiche de manière totalement invisible. Il ne reste plus qu’a inciter l’utilisateur a double cliquer sur l’élément <select> a l’emplacement ou se trouve le bouton de confirmation de la boite de dialogue caché. Pour être unpeu plus précis, le premier clique aura pour effet d’enlever l’affichage de l’élément <select> et par la suite cliquer sur le bouton de confirmation via le 2ème clique.

Concept en image :

faklocffxmsfa2013259472111428597729-few6

 

  • Vidéo de démonstration :

  • Description

Security researcher Jordi Chancel discovered a method to put arbitrary HTML content within <select> elements and place it in arbitrary locations. This can be used to spoof the displayed addressbar, leading to clickjacking and other spoofing attacks.

 

Security Researcher Jordi Chancel

icon_firefox[CVE 2012-4200] Location Bar URL and SSL Spoofing

cve2012-4200


  • Introduction :

Parmi mes recherches en vulnérabilité sur les web browser, il m’a été donné de trouver de multiple spoofing de type « Location Bar Spoofing » donc certain on un impacte global haut voir critique pour les plus dangereux tandis que d’autres restent modérés ou même faibles.

Ce spoofing découvert dans mes recherches sur le navigateur web Mozilla Firefox présente un impacte haut du fait qu’il ne nécessite qu’une interaction minime de la part de l’utilisateur et permet également d’usurper l’adresse URL d’un site ciblé en plus de son indicateur de connexion sécurisé.

  • Détails supplémentaire :

Ce Spoofing d’URL et d’indicateur de connexion sécurisé utilise plusieurs fonction JavaScript utilisé dans un ordre bien précis. Premièrement un URL Data: sera ouvert dans un nouvel onglet via window.open contenant un lien hypertexte destiner à ouvrir une seconde fois un onglet (toujours via window.open) sur l’adresse du site ciblé , la fonction onblur va alors être activer au changement d’onglet et produire la fonction Alert() tout en chargeant parallèlement un nouvel URL data: sur l’adresse ciblé. Une fois tout ceci mis en œuvre le contenu du site web ciblé sera changer par le code contenu dans l’URL data dernièrement chargé tout en gardant son URL et son indicateur de connexion sécurisé.

 

  • Vidéo de démonstration :


Security Researcher Jordi Chancel

icon_firefox[CVE 2012-3984] SELECT element persistance allows for attacks


  • Introduction :

Dans cet article je vais donner quelques détails concernant une Vulnérabilité de ClickJacking critique que j’ai découvert sur le navigateur web Mozilla Firefox permettant d’exécuter un Addon permettant de prendre le contrôle de la machine vulnérable par le biais de l’élément <select> en faisant en sorte que cette élément couvre certaine partie de la boite de dialogue d’installation de l’Addon pirate.
A. La vulnérabilité en question permettait dans un premier temps de couvrir de façon durable la barre de location, ce qui permettrait de démontré qu’avec cette vulnérabilité il serait alors possible de mener a bien une attaque de type Location Bar Spoofing.

 B. C’est en me penchant sur le fait que l’élément <select> permettrait donc de couvrir n’importe quel élément (faisant partie de la page web ou tout autre élément) que je me suis pencher sur l’exploitation de cette vulnérabilité dans le but de couvrir la boite d’installation d’un Addon XPI (permettant donc d’exécuter des malware visant a prendre le contrôle de la machine piégé par cette vulnérabilité ).

  • Explications brèves :

L’élément <select> a comme capacité de pouvoir couvrir n’importe quel élément de Mozilla Firefox étant donné que celui-ci se trouvera toujours au premier plan. Cependant il ne suffit pas d’utiliser uniquement l’élément <select>, il faut en plus que celui-ci contienne une image adéquate (permettant de simuler des parties de l’élément a couvrir) et aussi faire en sorte que celui-ci devienne persistant ( en manipulant d’autre code JavaScript & HTML permettant ainsi de mener a bien l’exploitation désirée).

  • Vidéo de démonstration :

  • Description :

Security researcher David Bloom of Cue discovered that <select> elements are always-on-top chromeless windows and that navigation away from a page with an active <select> menu does not remove this window.When another menu is opened programmatically on a new page, the original <select> menu can be retained and arbitrary HTML content within it rendered, allowing an attacker to cover arbitrary portions of the new page through absolute positioning/scrolling, leading to spoofing attacks. Security researcher Jordi Chancel found a variation that would allow for click-jacking attacks was well.

Security Researcher Jordi Chancel

[CVE-2012-6460] Truncated dialogs may be used to trick users


Advisory: Truncated dialogs may be used to trick users


CVE-ID: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-6460


UPDATE Link: http://www.opera.com/fr/security/advisory/1028


Announced: August 27, 2012
Reporter: Security researcher Jordi Chancel
Impact: Low
Products: Opera
Fixed in: Opera 12.02 and Opera 11.67


Description

When an important dialog is being displayed, such as a download dialog, the entire dialog should be visible, so that the user can clearly see what the dialog’s buttons will do. In some cases, specific user interactions can cause Opera not to enforce this correctly, allowing the window to become smaller than the dialog. The edge of the window remains visible, but users may assume misleading buttons on an underlying page are part of the dialog buttons, and click on the part of the dialog’s buttons that are still visible. This can be used to cause the user to download and run executables unexpectedly, or perform other unwanted actions.

Opera’s Response

Opera Software has released Opera 12.02 and Opera 11.67, where this issue has been fixed.


Credits

I haven’t been credited for this vulnerability, because i had written a blog post which disclosed the explanation of this security bug.


  • Vidéo de démonstration :


-Security Researcher Jordi Chancel