Auto-Download Lücke auch im Firefox?

    Hallöchen zusammen!

    Ich bin heute auf >dieses Video< gestoßen und wollte mich mal erkundigen, wie das denn beim Firefox bzw. Mozilla mit diesem Fehler aussieht. In SeaMonkey ist die Lücke jedenfalls vorhanden, aber ich habe ihn bei mir so eingestellt, daß ich immer nach dem Download-Ordner gefragt werde, wodurch in meinem Fall zweimal die entsprechende Dialogbox auftaucht.

    Ist da etwas bekannt darüber? Irgendwie scheint mir das Ding nämlich irgendwie gefährlich zu sein, wobei das nicht nur wie im Video Windows betrifft, sondern eben wie bei mir auch Linux und wahrscheinlich dann auch Apple! :traurig::-???

    Grüße aus Augsburg

    Mike

    Zitat von Fox2Fox

    Damit es einfacher wird, hier die Testseite:

    Vielen Dank dafür.

    Resultat:
    Nix besonders. Eine *.exe benötigt eine *.dll und die werden nacheinander heruntergeladen.
    Die Auswirkungen bei einem Windows kann ich nicht abschätzen.

    Unter meinem Linux sind die Dateien absolut wertlos. Da müsste man schon mehr Arbeit investieren, selbst dann sehe ich für einen vermeintlichen Eindringling Probleme.

    Um den Inhalt der Dateien geht es ja nicht. Der Testcase bedient halt Windows, aber man kann sich problemlos das Gleiche mit anderen Dateiformaten vorstellen. Die Sicherheitslücke besteht im automatischen Download der Dateien und existiert in einem aktuellen Firefox nicht. Was in einem nächsten Schritt mit den Dateien passiert (sprich das wirksame Ausnutzen der Lücke), ist wiederum Sicherheit des Betriebssystems, hat aber nichts mehr mit dem Browser-Problem zu tun, der auf keinen Fall heimlich Dateien herunterladen sollte. ;)

    Fox2Fox: unter welchem System hast du es denn ausprobiert?
    Denn wenn du dir das Video mal genau angesehen/angehört hättest (um bei deinen Worten zu bleiben) dann hättest du auch den Hinweis sehen/hören müssen, dass das Starten des Taschenrechners NUR unter Win10 so funktioniert und dass es sich unter Win7 (welches du laut deiner Signatur benutzt) ganz anders verhält.

    Externer Inhalt youtu.be
    Inhalte von externen Seiten werden ohne deine Zustimmung nicht automatisch geladen und angezeigt.
    Durch die Aktivierung der externen Inhalte erklärst du dich damit einverstanden, dass personenbezogene Daten an Drittplattformen übermittelt werden. Mehr Informationen dazu haben wir in unserer Datenschutzerklärung zur Verfügung gestellt.

    Hilfe auch im deutschsprachigen Matrix-Chat möglich oder im IRC-Chat
    Meine Anleitungstexte dürfen gerne "geklaut" und weiter verwendet/kopiert werden ;)

    Zitat von Fox2Fox

    Wenn du dir mal das Video angesehen hast, dann hättest du auch gesehen, dass der Taschenrechner startete. Das bewirkte diese zusätzliche .dll-Datei.

    Aber das ist doch nur ein Beispiel.
    Das eben dieses spezielle Beispiel bei dir nicht funktioniert, hat doch mit dem Problem an sich, das nämlich (angeblich) unbemerkt Dateien auf deinen Rechner heruntergeladen werden, nichts zu tun.

    Eben dieses angebliche Herunterladen ist aber das Problem, um das es hier geht.

    Zum einen musst du davon ausgehen, das "richtige" Malwareschreiber sich da schon etwas mehr Mühe geben werden, was dann konkrete Expoits angeht, zum anderen werden dann wohl auch gleich mehrere Vektoren angegangen.

    Das alle diese Angriffe dann doch nur bei einen Bruchteil der Angegriffenen wirken, liegt an unterschiedlichen Systemkonfigurationen, und wird auch in Kauf genommen, die Masse macht es in diesem Fall.

    Aber wie gesagt, der spätere Exploit hat erst mal nichts mit mit dem Ursprünglichen Problem zu tun.
    Der (angeblich) unbemerkte Download ist die offene Tür, die den Weg für Exploits öffnet.

    Die Frage die natürlich bleibt ist, gibt es dieses Problem denn wirklich?
    Ich kenne Chrome nicht gut genug um sagen zu können was da passiert ist.
    Ist beim Videoersteller schlicht Chrome so eingestellt das .exe Dateien ohne Benachrichtigung heruntergeladen werden sollen? Dann wäre das eigentlich ja das "gewünschte" Verhalten.
    Und komplett unsichtbar läuft der Download ja auch nicht.

    Zitat von Palli

    Die Frage die natürlich bleibt ist, gibt es dieses Problem denn wirklich?

    Nein.
    Auf eine Anfrage des Fx liefert der Server 2 Pakete (hier verschiedene Dateien) aus. Mehrere Pakete sind im Internet Tagesgeschehen.

    Wenn hier eine Überlistung stattfindet, dann nicht auf der Ebene der Pakete. Denn dann müssten sowohl der Fx, als auch meine Firewall und mein Proxy überlistet worden sein.

    Zitat von .Hermes

    Auf eine Anfrage des Fx liefert der Server 2 Pakete (hier verschiedene Dateien) aus. ... Wenn hier eine Überlistung stattfindet, dann nicht auf der Ebene der Pakete. Denn dann müssten sowohl der Fx, als auch meine Firewall und mein Proxy überlistet worden sein.


    Sei so nett und erkläre doch bitte mal, was die Datenpakete mit dem Problem des unbeabsichtigten Downloads und der Tatsache, dass der Angriff dann über eine DLL im gleichen Verzeichnis stattfindet, zu tun haben?
    Ebenso interessant wäre zu erfahren, weshalb dein Proxy und deine Firewall überlistet werden müssten, wenn der Browser eine Datei herunterlädt.
    Vielleicht schaust du zuvor nochmal kurz im OSI-Modell nach, was Datenpakete sind und in welchen Layern sie benutzt werden.

    Zitat von Palli

    Die Frage die natürlich bleibt ist, gibt es dieses Problem denn wirklich?

    Ja, gibt es. Mittlerweile ist es in Firefox und Chrome nicht mehr reproduzierbar. Ob Firefox davon mal betroffen war, weiß ich nicht, Chrome war es auf jeden Fall, ist es dem Bericht nach aber nicht mehr. Und es ist nach wie vor ein aktuelles Problem in Microsoft Edge.

    Nachtrag: Naja, nicht wirklich behoben in Chrome: "On Chrome on Windows, it has mitigated the issue by blocking downloading any ".dll" files". Also Chrome ist demnach sehr wohl weiterhin betroffen, wie ich auf OS X bestätigen kann, es erfolgt keine Nachfrage, die Dateien werden einfach heruntergeladen.

    Also lange Rede, kurzer Sinn: der Themen-Titel ist "Auto-Download Lücke auch im Firefox?", de facto sehe ich das Problem aber nur in Firefox nicht.

    Test-URL von Fox2Fox:
    Im Firefox habe ich in den Einstellungen immer "Nachfragen" bei Downloads eingestellt, gebe aber trotzdem einen Downloadort an. Der wird dann auch vorgeschlagen.

    Will sagen, bei beiden Dateien werde ich gefragt, wohin damit. Da wird nichts heimlich nachgeladen.

    [attachment=0]Einstellungen_Downloads.jpg[/attachment]

    Oh Hermes, du Sohn der Maia,
    zu den Paketen und so kommt nichts mehr, oder?

    Mercurium videte, delatorum pennis perinvalidis! :mrgreen: