Faille JAR, un premier Proof of Concept vient de sortir

Par Korben le 10 novembre 2007

Je vous avais parlé il y a quelques jours d’une nouvelle faille touchant Firefox et toutes les applications web qui acceptent de recevoir en upload des fichiers zip, jar ou odt, et doc 2007… Bref, tous les types de fichiers basés sur le protocole d’archivage JAR.

Trêve de blabla, voici un premier POC (Proof of Concept) qui démontre la gravité de la chose.

jar:http://groups.google.com/searchhistory/url?url=http://beford.org/stuff/htm.jar!/htm.htm

Si vous appelez ce lien (inoffensif je vous rassure), celui-ci executera un petit javascript qui fera croire à Google qu’il vient de son domaine (google.com) et qui lui ouvrira certaines portes comme par exemple ici l’accès à votre liste de contact Gmail. Ce script ne fait rien de méchant mais d’autres pourraient se servir de ces emails pour du spam par exemple.

Ca c’est pour le fun… maintenant, imaginez que vous vouliez récupérer la liste des fichiers ou des codes sources se trouvant dans un répertoire… En théorie, c’est possible aussi vu que le .htm contenu dans le JAR est exécuté comme si il était dans le dossier du site (donc comme si vous l’aviez envoyé directement en FTP)

Même chose en uploadant une fausse page internet d’une banque par exemple, on pourrait vous demander des informations confidentielles (ou en récupérer) sans que vous soyez vigilant.

Flippant non ?

Voici par exemple, une première liste de sites que le papa de la faille a testé et qui sont faillibles. Les noms de domaines sont censurés.

jar:http://imagXXXload.biz/files/dadfad6e3ba807aa20712fbe2.png!/test.html
jar:http://img3.freeimXXXhosting.net/uploads/328d2315c3.png!/test.html
jar:http://www.imglXXXtr.com/uploads/7accc832a7.png!/test.html
jar:http://upload.iXXXpot.com/u/07/311/05/test64864.zip.png!/test.html
jar:http://www.direcXXXload.com/showoriginal-32664.jpg!/test.html
jar:http://www.uplXXXhouse.com/fileuploads/712/712277d886fa0881092da4936f5ded10e771cd.png!/test.html
jar:http://www.fotopaXXXd.com/upload/nr/486/test.zip.png!/test.html
jar:http://www.uploXXXimages.net/imagen/18790b0b47.png!/test.html
jar:http://www.imaXXX.info/images/06/1194534977_test.zip.png!/test.html
jar:http://pics.fXXXni.de/save/p_1194532832.png!/test.html
jar:http://img.nXXXnternetstate.com/1194532968.png!/test.html

Evidement, pour le moment, c’est une grosse brêche encore ouverte parce que Firefox n’a pas encore été mis à jour. Prudence donc dans vos surfs à venir et attendez vous à voir une augmentation des alertes virales et des piratages dans les jours/mois qui vont arriver…

A bon entendeur…

Je vous recommande aussi la lecture des sujets suivants


Faites un lien vers cette news sur votre site



10 Commentaire(s)

  1. MyAvatars 0.2

    Zarathushtra Reply to this comment

    Ca n’a rien à voir avec l’article, mais quelqu’un pourrait m’expliquer ce qui se passe avec Demonoid ? Ils ont définitivement fermé cette fois-ci ?

    Posté le 10 novembre 2007 à 18:35:37

  2. MyAvatars 0.2

    Koob Reply to this comment

    Merci pour l’info

    Posté le 10 novembre 2007 à 18:36:28

  3. MyAvatars 0.2

    admin Reply to this comment

    @Zara: http://torrentfreak.com/demonoid-shuts-down-again-071109/

    Posté le 10 novembre 2007 à 18:49:40

  4. MyAvatars 0.2

    pihug12 Reply to this comment

    @Zarathushtra
    http://www.rlslog.net/demonoid-forcedly-shut-down-by-cria/
    Il a été mis hors ligne par la Canadian Recording Industry Association.

    Posté le 10 novembre 2007 à 18:55:17

  5. MyAvatars 0.2

    mikeldj Reply to this comment

    pour en revenir à l’article, perso avec le lien que t’a donné, j’ai une page blanche et pis c’est tout !! :blink:

    Posté le 10 novembre 2007 à 19:11:59

  6. MyAvatars 0.2

    Manu1400 Reply to this comment

    @admin : Comme d’habitude tu écris sans vraiment connaitre et si tu ne vérifie pas tes informations. La phrase “câ??est une grosse brêche encore ouverte parce que Firefox nâ??a pas encore été mis à jour” est surrement fausse : La grosse brêche vient de la conception de certains sites et non de Firefox au dernière nouvelle. Firefox est lui aussi conserné par un problème de sécurité lié au JAR mais cette faille est peut critique (Secunia a classé cette dernière faille comme étant “Less Critical”). Source :
    http://secunia.com/advisories/27605/
    Merci de corriger l’article.

    Posté le 10 novembre 2007 à 20:57:36

  7. MyAvatars 0.2

    mikeldj Reply to this comment

    y a pas à dire, il est sympa le Manu …
    à même se demander pourquoi il vient.. !!

    Posté le 10 novembre 2007 à 22:26:13

  8. MyAvatars 0.2

    admin Reply to this comment

    Il n’y a rien de faux dans mon article. La faille est bien dans Firefox et effectivement dans les sites web qui autorisent l’upload de fichiers type JAR. Tout ça était expliqué dans l’article précédent sur le même sujet :-)

    Posté le 11 novembre 2007 à 10:48:48

  9. MyAvatars 0.2

    Manu1400 Reply to this comment

    @admin : C’est peut être faux. Tu confond le problème de certains site et une faille non critique dans un navigateur web. Relis bien mon commentaire.

    Posté le 11 novembre 2007 à 18:49:15

  10. MyAvatars 0.2

    Manu1400 Reply to this comment

    La faille contenue dans Firefox a été corrigé avec la version 2.0.0.10 de Firefox. Cette version corrige 2 autres failles.
    Cela dis, d’autres logiciels sont surrement une gestion problématique de JAR…

    Posté le 27 novembre 2007 à 14:08:40

Lacher un com'

« Retour aux commentaires classiques (texte)