Многочисленные уязвимости обнаружены в расширении Pocket для Firefox

Решение Mozilla внедрить Pocket во все версии Firefox в свое время вызвало критику у специалистов по безопасности и обычных пользователей. Расширение не отключается и не удаляется никаким способом. Проблему даже оформили как тикет в баг-трекере Bugzilla, но разработчики из Mozilla не пошли на уступки и оставили Pocket в составе Firefox.

Теперь у критиков появился еще один аргумент. В Pocket найдено множество уязвимостей. И хотя разработчики выпустили патчи для них, но это ещё раз доказывает, что от расширения может быть больше вреда, чем пользы. Pocket предназначен для сохранения веб-страниц и последующего чтения на компьютере или мобильном устройстве. Достаточно указать ему URL — и документ сохраняется на потом.

Специалист по безопасности Клинт Руохо (Clint Ruoho) попробовал «скормить» Pocket нестандартные ссылки (file:///etc/passwd; ssh://localhost; telnet://localhost:25) - безуспешно. Зато повезло с другой ссылкой (http://127.0.0.1/server-status). Сервер Pocket принял запрос и прислал ответ.

Apache Server Status for 127.0.0.1
Server Version: Apache/2.2.29 (Unix) DAV/2
Server Built: Mar 12 2015 03:50:17 
...

Оказалось, что Pocket использует в своей работе Amazon EC2. В сервисе EC2 есть служебная функция Instance Metadata and User Data, доступ к которой осуществляется локально без аутентификации. Но если отправить правильный URL «на сохранение» в Pocket, то как раз такой запрос и выполнится локально, выдав хакеру служебные метаданные о виртуальной машине: зона, тип инстанса, тип сети, MAC-адрес, сведения о подключенном устройстве хранения.

 

И, пожалуй, самая опасная уязвимость связана с обработкой редиректов краулером Pocket. Если отправить ссылку, которая указывает редирект на file:///etc/passwd, то Pocket скачает-таки file:///etc/passwd с сервера.

Та же история с файлом (file:///proc/self/status), который дает информацию о запущенных процессах.

 Источник

Версия для печатиВерсия для печати

Регион: 

Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!