Hilfe - Suche - Mitglieder - Kalender
Vollansicht: Opera mit Sicherheitsproblem
Rokop Security > Neues von Rokop Security > News
JFK
Ein bereits Ende Januar entdecktes Sicherheitsloch im Internet Explorer, bei dem Probleme mit gefälschten CLASSIDs auftraten, wurde nun auch in der Windows-Version des Opera-Browsers gefunden.

Dabei wird über eine gefälschte CLASSID etwa eine vermeintlich ungefährliche PDF-Datei eingeschleust, die eigentlich eine HTML-Datei ist. Das Problem betrifft auch den Internet Explorer. Allerdings startet Opera ein Windows-Dialogfeld zum Speichern oder Öffnen der Datei, der IE den Acrobat Reader. Wird bei Opera die Datei geöffnet, wird der HTML Code ausgeführt, der unter Umständen gefährliche Eigenschaften besitzen kann.
Bisher gibt es keinen Patch für dieses Problem. Es sollen die 7.x Versionen Von Opera betroffen sein. Ob auch ältere Ausgaben des Browsers betroffen sind, wurde bislang nicht geprüft.
Werden allerdings solche Dateien abgespeichert und dann ausgeführt, werden diese nicht gestartet, da der Windows Explorer die Fälschung bemerkt.

Update:

heise.de präzisiert:

"Der falsche Dateiname wird in Opera unter anderem wegen eines zu kleinen Dialogfensters angezeigt, so dass in der Secunia Demo mit den Opera-Standardeinstellungen nur secunia.pdf zu sehen ist. Verbreitert man das Dialogfenster, so sieht man den kompletten Namen der Datei. Der vollständige Dateiname wird auch beim Speichern angezeigt und die Datei sogar als HTML-Applikation erkannt. Anders als beim Internet Explorer, zeigt die Datei nach dem Speichern aber nicht das PDF-Icon. Nach Angaben von Yngve Pettersen, Senior Developer bei Opera, schaue man sich den Fehler bereits an. Da sich das Problem auch mit anderen Browsern reproduzieren lässt, scheint der Fehler an Windows selbst zu liegen. Offenbar verlassen sich die Browser auf einige Windows-Funktionen, ohne eigene Überprüfungen vorzunehmen."
Grinko
QUOTE
Allerdings startet Opera ein Windows-Dialogfeld zum Speichern oder Öffnen der Datei


..und der sichere User lehnt dies ab.

Frage: Gibt es irgendwo einen Test dafür?
Michael
Hallo,

ich habe deinen Bericht gelesen, weiß jetzt aber nicht mehr als vorher. Was genau ist denn nun die Sicherheitslücke an der Sache?
Du schreibst, dass Opera HTML-Dateien auch dann als HTML-Dateien behandelt, wenn sie als PDF-Dateien getarnt sind. Das ist doch gut so. Oder werden die Dateien etwa mit dem Internet Explorer geöffnet?

QUOTE
Wird bei Opera die Datei geöffnet, wird der HTML Code ausgeführt, der unter Umständen gefährliche Eigenschaften besitzen kann.

Zur Erinnerung: Der Browser mit den Sicherheitszonen ist der IE. Eigentlich dürfte eine lokale HTML-Datei in Opera nicht gefährlicher sein als jede andere Webseite.

Wie gesagt: Alles unklar - brauche Input.


Gruß,
Michael
JFK
Hier weitere Infos

JFK
Michael
Hallo,

danke für den Link. Dort wird das Problem richtig beschrieben.
Es geht also garnicht um HTML-Dateien, sondern um HTA-Dateien. Wenn man die Exploit-Demonstration mit Opera anklickt, erscheint folgende Meldung:

user posted image

Wenn man dann auf "Öffnen" klickt, wird die Datei ausgeführt. Das passiert durch den "Microsoft ® HTML Application host".

user posted image

Die Sicherheitslücke besteht also darin, dass Opera zum ausführen von Dateien nicht selbst das zuständige Programm startet, sondern die Datei einfach an Windows übergibt.
Das könnte man vermutlich auch mit anderen Dateitypen als HTA machen.

Die Angabe "Type: applicati0n/pdf" ist übrigens kein Opera-Irrtum, sondern lediglich der vom Server gesendete Content-Type.

So sieht die Übertragung aus:
CODE
+++GET 647+++
GET /internet_explorer_file_download_spoof/ HTTP/1.0
User-Agent: Opera/7.10 (Windows NT 5.0; U)  [en]
Host: secunia.com
Accept: application/x-shockwave-flash,text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,video/x-mng,image/png,image/jpeg,image/gif;q=0.2,text/css,*/*;q=0.1
Accept-Language: de;q=1.0,en;q=0.9
Accept-Charset: windows-1252, utf-8, utf-16, iso-8859-1;q=0.6, *;q=0.1
Accept-Encoding: gzip, deflate
Referer: http://secunia.com/Internet_Explorer_File_Download_Extension_Spoofing_Test/
Connection: keep-alive

+++RESP 647+++
HTTP/1.0 200 OK
Date: Fri, 13 Feb 2004 16:50:26 GMT
Server: apache
Content-Disposition: inline; filename="Secunia.pdf                                         .{3050f4d8-98B5-11CF-BB82-00AA00BDCE0B}Secunia_Internet_Explorer%2epdf"
Keep-Alive: timeout=15, max=100
Connection: Keep-Alive
Transfer-Encoding: chunked
Content-Type: applicati0n/pdf
+++CLOSE 647+++



Gruß,
Michael
JFK
QUOTE(Michael @ 13. Februar 2004, 17:54)
Es geht also garnicht um HTML-Dateien, sondern um HTA-Dateien.

HTA Dateien sind doch "spezielle" HTML Dateien

JFK
Michael
QUOTE(JFK @ 13. Februar 2004, 19:50)
HTA Dateien sind doch "spezielle" HTML Dateien

Ja, aber sie werden nicht vom Browser interpretiert, sondern von einem externen Programm. Der Vorgang ist also nicht anders als z.B. bei einem Perl-Skript, das ich herunter lade und dann starte.

Wenn du schreibst, dass Opera HTML-Dateien ausführt die schädlichen Code enthalten können, dann denkt jeder, dass es eine Sicherheitslücke im HTML-Interpreter von Opera gäbe.

Deshalb habe ich ja auch gefragt, ob die Dateien etwa im Internet Explorer gestartet werden. Denn dann bestände immerhin ein Sicherheitsrisiko, da dieser ja lokale Dateien mit weniger Beschränkungen ausführt.

Auf heise.de hat man die ähnlich lautende Meldung übrigens korrigiert:
http://www.heise.de/newsticker/meldung/44553


Gruß,
Michael
Witti
Da Opera vorher brav nachfragt, sehe ich das Ganze auch nicht als Sicherheitslücke. Eher das Gegenteil.
JFK
QUOTE(Witti @ 14. Februar 2004, 00:30)
Da Opera vorher brav nachfragt, sehe ich das Ganze auch nicht als Sicherheitslücke. Eher das Gegenteil.

Wenn ich manchmal lese, wie sich selbst Stammleser dieses Forums in Schwierigkeiten bringen whistling.gif ,
wundert nichts mehr.

JFK
Witti
Na, da mach Dir mal keine Sorgen....wink.gif
Dieses ist eine vereinfachte Darstellung unseres Foreninhaltes. Um die detaillierte Vollansicht mit Formatierung und Bildern zu betrachten, bitte hier klicken.
Invision Power Board © 2001-2018 Invision Power Services, Inc.