Google Chrome Frame null domain XSS

20 noviembre 2009 Publicado por cLimbo
#####################################
Google Chrome Frame null domain XSS
URL afectada: http://www.google.com/chromeframe
Changelog del vendedor: http://googlechromereleases.blogspot.com/2009/11/google-chrome-frame-update-bug-fixes.html
Reportado por: http://lostmon.blogspot.com/2009/11/google-chrome-frame-null-domain-xss.html
Notificación al vendedor: Exploit disponible:
######################################

######################
Descripción del vendedor
######################

Google Chrome Frame es un plug-in gratuito para Internet Explorer. Algunas aplicaciones web avanzadas, como Google Wave, contiene el uso de Google Chrome Frame para ofrecerle características adicionales y un mejor rendimiento.

Google Chrome Frame es una etapa inicial de código abierto, un plug-in que hace a la perfección Google Chrome mejorando las tecnologías web y el motor de JavaScript de Internet Explorer.

################
Versiones afectadas
################

4.0.223.9 (Official Build 29618)
WebKit: 532.3
V8: 1.3.16
User Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US)
AppleWebKit/532.3 (KHTML, like Gecko) Chrome/4.0.223.9 Safari/532.3

Versiones no afectadas:

4.0.245.1 (Official Build 31970)
WebKit: 532.5
V8: 1.3.18.6
User Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US)
AppleWebKit/532.5 (KHTML, like Gecko) Chrome/4.0.245.1 Safari/532.5

Para más información visiten:
http://googlechromereleases.blogspot.com/2009/11/google-chrome-frame-update-bug-fixes.html

#####################
Cross Site Scripting
#####################

Creamos un documento HTML para probar y metemos =>

<iframe src="javascript:alert(1)></iframe>

=> se abre el iframe y ejecuta el alert (esto es lo correcto)

<iframe src="cf:javascript:alert(1)></iframe>

=> esto no funciona, no muestra el alert (sigue siendo correcto)

Y aquí está el error:

<iframe src="cf:view-source:javascript:alert(1)></iframe>

Este code ejecuta y muestra el alert que funciona en local y a su vez en remoto o también a través de la barra de dirección.

Esto pasa las políticas de origen de datos !!

Para probar el navegador Google Chrome ponemos en la barra de dirección =>

view-source:javascript:alert(1)

Esto ejecuta el alert, aun así Google hace poco decidió realizar unos cambios en él como poner la página en blanco, este tema es sólo explotable a través de la barra de direcciones, no en un iframe o frame o documento html, así que por ese motivo creo que este problema no es explotable remotamente.

###########
Crashes
###########

cf:view-source:about@: => se rompe
cf:about@: => rompe el tab

##########
Solución
############

Google automáticamente ha sacado una nueva versión de Chrome Frame 4.0.245.1 (Official Build 31970) y esta versión no está afectada por esta vulnerabilidad.

#################€nd#############

Thnx to estrella To be mi ligth
Thnx To icar0 & sha0 from Badchecksum
Thnx To Google security Team

atentamente:
Security Research & Analisys.
Lostmon (lostmon@gmail.com)
-----------------

thz Lost ;-)
Etiquetas: , ,