Taggat med: firefox

Tails 2.11 och Tor Browser 6.5.1 ute nu

Sex allvarliga säkerhetsbrister har uppdagats i Firefox vilket även resulterat till att Tor och Tails nu finns ute i nya versioner.

Tails-teamet meddelar även att detta kommer att bli den sista versionen då I2P finns med. Att stödet för anonymiseringsnätverket I2P tas bort från och med nästa version beror på prioriteringar.

Tails åtgärdar förutom Firefox-sårbarheterna även CVE-2017-6074 (local root privilege escalation) genom att stänga av dccp-modulen.

Även så finns det åtgärder för att försvåra fingerprinting via chrome:// och resource:// URL:er men tyvärr så verkar det som om mitt fingerprint-demo fungerar fortfarande:

Ny attack mot HTTPS genom WPAD/PAC

En ny attack mot https kommer att presenteras under konferensen Black Hat som går av stapeln inom några dagar i Las Vegas. Denna nya attack använder sig av DHCP option 242 (PAC) och kan således lura en klient som sitter på samma lokala nätverk att gå via en proxy.

Option 242 pekar nämligen ut en WPAD-fil som innehåller proxy-inställningar för klientens webbläsare. Detta finns specificerat i draft-ietf-wrec-wpad-01.txt från år 1999 bl.a. Observera även att denna attack fungerar mot Mac, Windows samt Linux.

We show that HTTPS cannot provide security when WPAD is enabled.

Exempel på skadlig kod som använder sig av PAC (källa Microsoft):

PAC1

Skärmdump från Firefox inställningar för proxy:Firefox WPAD

Och följande bilder visar på hur attacken gå till väga för att ta över ett konto/tjänst vid återställning av lösenord:

unholy-pac-1-980x980 unholy-pac.2-980x980 unholy-pac-3-980x980Och är du på plats i Las VegasBlack Hat Briefings kan du se följande två föredrag som behandlar ämnet:

Är du Windows-admin så kan WPAD stängas av genom följande GPO: ”Disable changing Automatic Configuration settings” samt ”Administrative TemplatesWindows ComponentsInternet Explorer” i användarpolicy samt datorpolicy.

Ny version av Tor Browser samt Tails

Angrepp mot TorEn ny version av Tor Browser samt Tails släpptes nyss. Denna version åtgärdar ett antal säkerhetsbrister som uppdagats i Firefox.

Följande säkerhetsbrister åtgärdas i Firefox:

  • 2014-90 Apple CoreGraphics framework on OS X 10.10 logging input data to /tmp directory
  • 2014-89 Bad casting from the BasicThebesLayer to BasicContainerLayer
  • 2014-88 Buffer overflow while parsing media content
  • 2014-87 Use-after-free during HTML5 parsing
  • 2014-85 XMLHttpRequest crashes with some input streams
  • 2014-83 Miscellaneous memory safety hazards (rv:34.0 / rv:31.3)

Du kan som vanligt ladda hem Tor Browser här:

MITM Attack mot Google-användare i Iran

En användare av webbläsaren Google Chrome har i Iran upptäckt ett felaktigt certifikat för Google-tjänster. Efter ytterligare undersökningar så visade det sig att någon på vägen mellan användaren i Iran och Google genomförde en såkallad man-i-mitten attack (man-in-the-middle /MITM ) mot krypterade anslutningar (https).

Att användaren i Iran kunde upptäcka attacken berodde på att Google lagt in fingerprints för dess tjänster hårdkodat i webbläsaren Chrome. Så oavsett om certifikatet ser ut att vara korrekt utfärdat för *.google.com så visas en varning till användaren.

En av bovarna i dramat är företaget DigiNotar som utfärdat ett certifikat felaktigt. Omfattningen av denna attack är i dagsläget oklar.

Google har gått ut med följande meddelande:

Today we received reports of attempted SSL man-in-the-middle (MITM) attacks against Google users, whereby someone tried to get between them and encrypted Google services. The people affected were primarily located in Iran. The attacker used a fraudulent SSL certificate issued by DigiNotar, a root certificate authority that should not issue certificates for Google (and has since revoked it).

Google Chrome users were protected from this attack because Chrome was able to detect the fraudulent certificate.

To further protect the safety and privacy of our users, we plan to disable the DigiNotar certificate authority in Chrome while investigations continue. Mozilla also moved quickly to protect its users. This means that Chrome and Firefox users will receive alerts if they try to visit websites that use DigiNotar certificates.

To help deter unwanted surveillance, we recommend that users, especially those in Iran, keep their web browsers and operating systems up to date and pay attention to web browser security warnings.

HTTPS Everywhere version 1.0

Webbläsarverktyget HTTPS Everywhere finns nu ute i version 1.0. HTTPS Everywhere är ett verktyg som gör att många av de vanligaste webbsajterna vi surfar till dagligen använder den krypterade versionen av webbsurf dvs https. I dagsläget så ligger runt 1000 sajter inlagda i verktyget att automatiskt gå över till https istället för http.

Tyvärr så fungerar HTTPS Everywhere enbart till Firefox i dagsläget. Begränsningar i API:t hos Safari och Chrome gör att det ej är möjligt att göra ett verktyg som HTTPS Everywhere. Vi hoppas så klart att både Apple och Google kommer att införa förändringar i dess webbläsare  som gör det möjligt att tvinga fram https.

HTTPS Everywhere kommer från frihetskämparorganisationen EFF som även står bakom verktyg såsom Tor.

Här kan du ladda hem verktyget: https://www.eff.org/https-everywhere

Twitter inför HTTPS

Precis som Facebook så inför nu även den sociala tjänsten Twitter en inställning för att forcera https. Detta har enbart varit möjligt tidigare genom exempelvis webbläsarplugins som Use HTTPS (chrome) och HTTPS Everywhere (firefox).

Tyvärr så rapporterar Twitter att https-inställningen ej fungerar för den mobila versionen mobile.twitter.com. Dock är det möjligt att manuellt skriva in https://mobile.twitter.com

Skärmdump från inställning:

Uppdatering: Nu har även IDG skrivit om denna nyhet.

Firesheep-attack mot Facebook etc.

Ingen kan ju ha undgått de senaste attacker med hjälp av verktyget Firesheep som underlättar för den enskilde att utföra såkallade sessions-attacker för att kopiera den sessions-cookie som alla webbsajter använder sig av efter en inloggning.

Attacken kan med fördel utföras på ett trådlöst nätverk där Cookies går att ”sniffa upp” vilket är typiskt vid Internet-caféer eller konferenser, företagsnätverk. Även så måste sajten där Cookien sniffas upp ej använda https vilket är fallet för exempelvis Twitter, Facebook, LinkedIn och liknande som inte använder https som standard.

Bästa sättet att skydda sig är att använda en VPN-uppkoppling över trådlösa nätverk. Detta kan sättas upp med hjälp av en tjänst såsom Anonine eller IPRedator. Vi får även hoppas att allt fler går över till att enbart använda https, dock är detta inte  helt trivialt eftersom detta kräver mer datorresurser exempelvis. Ett annat tips är att använda något av de plugins till webbläsaren som tvingar fram https.

Firesheep är ett Firefox-plugin och hittas på adress codebutler.com/firesheep. Även så rekommenderas Anders Thoressons förslag att använda din hemmarouter som VPN.

Fler bloggare som skrivit om detta:

Krypto/integritetsbugg i Firefox

För några timmar sedan så släpptes Firefox version 3.6.4, vid en snabb överblick av de buggfixar som fanns med i listan så hittade vi denna intressanta bugg som Trusteers säkerhetschef Amit Klein identifierat:

Security researcher Amit Klein reported that it was possible to reverse engineer the value used to seed Math.random(). Since the pseudo-random number generator was only seeded once per browsing session, this seed value could be used as a unique token to identify and track users across different web sites.

Se mozilla.org/security/announce/2010/mfsa2010-33.html för mer information.