Firefox y vulnerabilidad de hpc

Más
9 años 8 meses antes #12979 por MiguelMS
Hola a todos :)

Estaba buscando en Internet si Firefox sería vulnerable al fallo del protocolo hpc descubierto recientemente y si sería posible cerrar el fallo en Firefox...

Según este enlace http://kb.mozillazine.org/Network.protocol-handler.warn-external.%28protocol%29 , si se entra en about:config y se crea una nueva opción llamada “network.protocol-handler.warn-external.hcp”, Firefox debería mostrar una advertencia antes de intentar pasar una URL que utilice el protocolo hcp al programa externo registrado (el Centro de Ayuda y Soporte Técnico de Windows).

Si es así, eso al menos advertiría al usuario antes de caer en un "exploit" de esta vulnerabilidad... ¿O me equivoco? Pienso que tampoco tendría ningún "efecto secundario", ya que no se utiliza Firefox para ejecutar ninguno de esos enlaces para un uso legítimo ¿no?


En el caso de Internet Explorer, también sería posible añadir el protocolo hpc a la zona de sitios restringidos (HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults -> hpc=0x4), pero pienso que eso posiblemente afectaría al funcionamiento del Centro de Ayuda y Soporte de Windows ¿Es así?

Más información: http://steve.grc.com/2010/06/11/hcp-0-day-quick-fix/ .

Por favor, Identificarse o Crear cuenta para unirse a la conversación.

Más
9 años 8 meses antes #12980 por Asterixco
Respuesta de Asterixco sobre el tema Firefox y vulnerabilidad de hpc
Si una aplicación particular bloquea un enlace HCP, perfecto; si solicita autorización para abrirlo, habrá gente que responda con un sí incluso sin estar muy convencido de lo que se pregunta, por lo que el sistema estaría potencialmente comprometido; y si abre el enlace directamente peor aún porque el ataque sería totalmente automático.

La solución provisional que propone Microsoft elimina el vector principal de ataque, aunque conlleva el efecto secundario de que algunos enlaces internos legítimos de ayuda en Windows XP y Server 2003 dejan de funcionar. En resumen:

reg export HKLM\Software\Classes\HCP HCP_Protocol_Backup.reg
reg delete HKLM\Software\Classes\HCP /f

De esta forma Firefox muestra el mensaje "Firefox no sabe cómo abrir esta dirección, porque el protocolo (hcp) no está asociado con ningún programa" e Internet Explorer devuelve un "No se puede mostrar la página". Si no se borrase la información del protocolo HCP, el sistema podría seguir siendo vulnerable a través de otras aplicaciones, incluyendo navegadores como Opera, aunque en las versiones recientes de Google Chrome parece que han optado por bloquear tajantemente el uso del protocolo HCP.

Cuando salga la actualización oficial para este problema se importa el archivo HCP_Protocol_Backup.reg para recuperar la funcionalidad perdida y listo.

Ramón Sola | Málaga (España)

Por favor, Identificarse o Crear cuenta para unirse a la conversación.

Más
9 años 8 meses antes #12986 por MiguelMS
Respuesta de MiguelMS sobre el tema Firefox y vulnerabilidad de hpc

Si una aplicación particular bloquea un enlace HCP, perfecto; si solicita autorización para abrirlo, habrá gente que responda con un sí incluso sin estar muy convencido de lo que se pregunta, por lo que el sistema estaría potencialmente comprometido; y si abre el enlace directamente peor aún porque el ataque sería totalmente automático.


Me estaba equivocando en el mensaje anterior, Firefox con la configuración por defecto se supone que mostraría la advertencia (al no existir network.protocol-handler.warn-external.hcp = false y existir network.protocol-handler.warn-external-default = true) si fuera a pasar la URL a otro programa, pero aparentemente trata de procesar internamente esa URL por la configuración por defecto network.protocol-handler.external.hcp = false. Es decir, o bien la procesa internamente (con lo que no habrá advertencia) o bien no hace nada con ella (aunque probablemente intente procesarla internamente de alguna forma).

Lo interesante sería la configuración de "network.protocol-handler.expose.hcp = false" que sería la que bloquearía todo el protocolo HCP en Firefox, pero según la documentación solo es para Linux y Mac, pero no para Windows. Por tanto, si lo mejor que se puede conseguir es que pregunte, prefiero eso aunque haya quien vaya a ignorar el aviso, que la apertura completamente automática.

Al menos esto es lo que yo he visto hasta ahora, de ahí que preguntara, por si alguien se maneja mejor que yo con estas configuraciones de Firefox. ¿Sería entonces preferible poner network.protocol-handler.external.hcp = true para que Firefox no intente procesar HCP y que al ir a pasarlo al programa externo avise? ¿O el tratamiento interno que hace del HCP es seguro o consiste en no hacer nada con él?

Mi intención es bloquear lo mejor posible el protocolo hcp de cara al futuro, intentando no romper el Centro de Ayuda y Soporte. Aunque Microsoft corrija este problema concreto, quien sabe si en el futuro surgirán otros, y por ejemplo, desde Firefox (creo que) es totalmente innecesario que se procese uno de esos enlaces.


En el caso de Internet Explorer me gustaría hacer algo parecido, pero no creo que se pueda. Pienso que lo ideal sería que el único "sitio" donde procesar estos enlaces es en la zona de "Mi PC", pero ya en las de "Sitios de confianza", "Sitios de Internet" o "Sitios restringidos" tampoco sería necesario.

Lo mejor que he encontrado hasta ahora podría ser lo de definirlo como "Sitio restringido", pero no estoy seguro de si eso causa problemas en el Centro de Ayuda y Soporte ¿Alguna idea de si esto sería viable o si por el contrario traería problemas?

La solución provisional que propone Microsoft elimina el vector principal de ataque, aunque conlleva el efecto secundario de que algunos enlaces internos legítimos de ayuda en Windows XP y Server 2003 dejan de funcionar. En resumen:

(...)

Cuando salga la actualización oficial para este problema se importa el archivo HCP_Protocol_Backup.reg para recuperar la funcionalidad perdida y listo.


Conozco el parche del "advisory" de Microsoft, incluso hay un FixIt automático que lo aplica y otro que lo reactiva para quien no quiera trastear en el registro directamente.

Pero vamos, como decía, mi intención (si es que fuera posible, que igual no...) era bloquear el protocolo hcp en Firefox y si fuera posible en Internet Explorer fuera de la zona de "Mi PC", para que asi funcione el Centro de Ayuda y Soporte. Me parece innecesario que Firefox maneje esas URLs y también pienso que es innecesario que Internet Explorer haga lo mismo en las zonas de "Sitios de Confianza", "Sitios de Internet" y "Sitios restringidos".

Por favor, Identificarse o Crear cuenta para unirse a la conversación.

Tiempo de carga de la página: 0.424 segundos
Gracias a Foro Kunena