Не секрет, что расширения для браузера могут быть источником uXSS уязвимостей. Travis Ormandy нашёл забавный баг в расширении Video Downloader Professional, у которого почти 4 млн. пользователей: https://bugs.chromium.org/p/project-zero/issues/detail?id=1555

Для справки, uXSS - браузерная уязвимость, которая даёт атакующему возможность выполнить на сайте произвольный JavaScript в контексте любого (ну или почти любого) чужого origin’а.

Safari не перестает удивлять! Недавно закрыли выполнение произвольного кода с помощью функции возвращения квадратного корня (sqrt).

https://www.zerodayinitiative.com/advisories/ZDI-18-278/

Natalie Silvanovich из P0 нашла интересную проблему в WebAssembly парсере WebKit. Дело в том, что парсер некорректно валидировал порядок секций бинарника, что приводило к переполнениям и type confusion багам. Детали тут: https://bugs.chromium.org/p/project-zero/issues/detail?id=1522.

Давно не писал сюда, решил возобновить процесс и встряхнуть канал.
И начну я с отличной новости!

Вчера Google анонсировал кампанию по отказу от inline установок расширений со сторонних сайтов. С 12 июня все новые расширения, которые добавляются в Chrome Web Store установить со стороннего сайта уже будет нельзя (chrome.webstore.install будет редиректить в стор), а с 12 сентября уже все инлайн установки будут вести себя аналогично. До конца года метод планируют удалить из Сhromium API. Подробности, как обычно, тут: https://blog.chromium.org/2018/06/improving-extension-transparency-for.html

Интересная PoC-заготовка, которая демонстрирует RCE в WebContent (CVE-2018-4233) для Safari под iOS 11.3.1 https://github.com/phoenhex/files/tree/master/exploits/ios-11.3.1)

И на сладкое, прикольный материал про внутреннее устройство JavaScript-движков: https://mathiasbynens.be/notes/shapes-ics.

А вот и демонстрация CVE-2018-6148:

https://blog.bentkowski.info/2018/06/setting-arbitrary-request-headers-in.html

В сети появился материал про брауезреные cors-атаки через медиа-контент.
Концепция называется WaveTrough, детали тут: https://jakearchibald.com/2018/i-discovered-a-browser-bug/
Под FF автор атаки смог вытащить content-length: https://bugzilla.mozilla.org/show_bug.cgi?id=1441153#c4
Под Edge уже получилось вытащить само содержимое другого origin'а (CVE-2018-8235).

Mozzila запустила ночные build'ы c Asan'ом и специальным репортером на борту: https://blog.mozilla.org/security/2018/07/19/introducing-the-asan-nightly-project/. Пока только под Linux, можно ставить, ловить всякие крэши и сообщать об этом лисе.

Интересный пост про разрешение доступа MS Edge к localhost’у из AppContainer’а: https://tyranidslair.blogspot.com/2018/07/uwp-localhost-network-isolation-and-edge.html.
Получается, что любой эксплойт для Edge может получить доступ к сервисам, запущенным на localhost, несмотря на изоляцию контейнера.

Вышел Chrome 68. А это значит, что с этой версии он будет помечать сайты без HTTPS как небезопасные. Быть может, в будущем вообще запретит посещать HTTP :)

Сегодня столкнулся с тем, что в FireFox не получалось проэксплуатировать CSRF-уязвимость в API, которая принимает на вход только application/json. Ну речь про то, что swf-ка (например, такая https://github.com/sp1d3r/swf_json_csrf) идёт по 307 редиректу и посылает GET или POST запрос в нужный origin с нужным content-type. В последнем Chrome все работает, а в лисе пофиксили эту возможность: https://bugzilla.mozilla.org/show_bug.cgi?id=1436241, летит только get без параметров.

А тем временем FireFox потихоньку пилит свой Site Isolation, на bleeping выложили пост про текущее состояние проекта Fission: https://www.bleepingcomputer.com/news/software/mozilla-is-working-on-a-chrome-like-site-isolation-feature-for-firefox/.

На BHUSA 2018 Samuel Groß рассказал про атаки на JIT-компиляторы JS в браузерах.
Его исследование сфокусировано на уязвимостях в механизмах устранения избыточности(redundacy elimination) и проверках допустимости обращения к памяти (bounds checking).

Основная идея состоит в том, что можно сформировать такой код, который JIT-компилятор будет считать корректным, убрав при этом дополнительные проверки с целью оптимизации и ускорения исполнения кода. Это можно использовать, чтобы получать read/write примитивы.

Полная версия презентации: https://saelo.github.io/presentations/blackhat_us_18_attacking_client_side_jit_compilers.pdf.

Вы все еще не фаззите WebAssembly? Лучше поздно, чем никогда.
Natalie Silvanovich из Project Zero поделилась своими мыслями про уязвимсоти в парсинге WebAssembly-модуля:
https://googleprojectzero.blogspot.com/2018/08/the-problems-and-promise-of-webassembly.html.
Т.к. формат относительно новый, нас ждем еще много интересных багов.

Не очень новая, но интересная подброрка материалов по уязвимостям и фаззингу браузеров:
https://github.com/Escapingbug/awesome-browser-exploit.

А Google запустил серию интересных постов из 4 частей о внутреннем устройстве Chrome: https://developers.google.com/web/updates/2018/09/inside-browser-part1.
Уже вышло 2 части, рекомендую их прочитать!

Chrome 69+ не удаляет Cookie самого Google ¯\_(ツ)_/¯

За 21 день ребята из x41 D-SEC GMBH провели аудит Firefox Application Update сервис, в результате нашлось 14 уязвимостей и 21 потенциальных проблем. Все обнаруженные уязвимости находятся либо в старом C-коде, либо в панели администрирования, которая назвается Balrog (https://github.com/mozilla/balrog/).

Подробности тут: https://www.x41-dsec.de/reports/X41-Balrog-Review-2018-Final-Report-Public.pdf
Ну и сама новость тут: https://blog.mozilla.org/security/2018/10/09/trusting-the-delivery-of-firefox-updates/

От mailto: до RCE всего один шаг!
Замечательная бага была найдена в MS Edge, позволяющая в ссылках выполнять команды через схему wshfile: https://leucosite.com/Microsoft-Edge-RCE/

В FireFox 62.0 нашли type confusion багу, приводящую к RCE (CVE-2018-12386): https://blogs.securiteam.com/index.php/archives/3765.
Когда уже они доработают и раскатят свой sandbox?)