Sicherheitlücke gefunden, was nun?

Es gibt 28 Antworten in diesem Thema. Der letzte Beitrag () ist von Mokki.

    Sicherheitlücke gefunden, was nun?

    Hallo,

    ich habe eine Sicherheitslücke in 3 Browsern gefunden(Safari, Firefox u Edge).
    Da dieses meine erste größere Sicherheitslücke ist(davor eher kleineres: Injections in Webseiten, etc) habe ich eine paar Fragen:
    1. Ich habe jetzt nur für den Firefox ein Bugbounty Programm gefunden, gibt es auch für die anderen zwei Browser Webseiten wo ich die Sicherheitslücke dem Hersteller melden kann?
    2. Da es drei Browser sind, wie kann ich am Besten sicherstellen, dass kein Hersteller die Sicherheitslücke fix/veröffentlicht bevor die anderen Browser auch einen Fix bereitstellen können? Dazuschreiben, dass die Sicherheitslücke auch in den Browsern auftritt?
    3. Wie sollt ich die Lücke am besten dokumentieren? Mit Htmlseiten, Code und Erklärung zum Code?


    Danke für eure Antworten :thumbsup: ,
    Lg Mokki
    ​Smartnotr - ein intelligentes Notizprogramm
    zum Thread

    Zum Thema Apple: apple.com/au/support/security/
    Zum Thema Edge: technet.microsoft.com/en-us/library/dn425036.aspx / developer.microsoft.com/en-us/…oft-edge/platform/issues/

    Zu 2: Ich würde es vielleicht dazu schreiben und zum selben Zeitpunkt den "anderen" auch Bescheid geben.
    Zu 3: Ja, wäre wohl am besten. Bei vielen 0day Exploits etc. wird bspw. ebenfalls Code auf GitHub veröffentlicht, zum Beispiel: github.com/dosomder/iovyroot
    Software being "Done" is like lawn being "Mowed". (Jim Benson)

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von „KidRick“ ()

    Es ist eine Lücke. Die mehr oder weniger schwer ist, sonst würd ich hier nich fragen. Mehr Informationen veröfftlich ich aber erst nach dem Fix.

    Edit: Mist nicht aktualisiert. Danke @KidRick werde mir die Links anschauen :)

    Lg Mokki
    ​Smartnotr - ein intelligentes Notizprogramm
    zum Thread

    Für Firefox kann man doch auch die integrierte Feedback-Funktion verwenden, falls die gefundene Lücke wirklich zu heikel für einen öffentlichen Bugtracker ist.
    Besucht auch mein anderes Forum:
    Das Amateurfilm-Forum

    Marcus Gräfe schrieb:

    integrierte Feedback-Funktion

    Auch eine gute Idee.

    Marcus Gräfe schrieb:

    für einen öffentlichen Bugtracker

    ​Ich werde mir einfach die FQAs usw der Webseiten durchlesen, wenn ich mir bei etwas nicht sicher bin (weil ich denke es könnte für die Öffentlichkeit sichtbar sein) werde ich mich nochmal hier melden und fragen.

    Lg Mokki
    ​Smartnotr - ein intelligentes Notizprogramm
    zum Thread

    Was ist das denn für eine Sicherheitslücke? Du musst uns ja nicht beschreiben, wie sie funktioniert, aber was sie macht oder dir ermöglicht kannst du uns ja sagen...
    Außerdem: Chrome oder Safari (oder ganz WebKit)? Im Tag steht Chrome im Text Safari...

    EaranMaleasi schrieb:

    Microsoft geben afaik immer Geld

    Naja es gab zwar ein Bugbounty Programm für den Edge. Dieses war aber nur für die Preversion und lief vor einem Jahr aus. es gibt jetzt eben noch den Issues Tracker, aber da hab ich keine Ahnung wie/wann die Bugs/Lücken veröffentlicht werden(darüber muss ich mich noch schlau machen)

    ichduersie schrieb:

    Chrome oder Safari

    Browser (OS)
    Funktioniert
    Chrome (OSX)
    nein
    Opera (OSX)
    nein
    Safari (OSX)
    ja
    Edge (Win 10)
    ja
    Firefox (Win 10)
    ja

    ichduersie schrieb:

    Was ist das denn für eine Sicherheitslücke?

    XSS

    Da die meisten bei XSS aufschreien werden: "Das ist keine Sicherheitslücke des Browsers, sondern der Webseite":
    Ich kann auf fast allen mir bekannten Seiten JS Code injecten.

    ​Ich habe aber eine Schutzfunktion von Webseiten entdeckt, mit der dies nicht möglich ist :/ .
    Diese Schutzfunktion dient aber meines Wissens nicht dem Verhindern dieser Lücke, sonder hat andere Verwendung(Die ich hier leider nicht nennen kann).

    Und wen es keine Lücke ist, dann soll mir jmd bitte erklären welche gute Funktion es mit sich bringt Scripts auf fremden Webseiten laufen zu lassen.

    Mein Problem: Ich mag die Lücke nicht zu einer 0day machen, deshalb halt ich mich ziemlich bedeckt... (hasse es einfach wenn Daten von Unwissenden geklaut werden)


    Lg Mokki
    ​Smartnotr - ein intelligentes Notizprogramm
    zum Thread

    Vielleicht verstehe ich dich jetzt auch falsch, aber JS-Code wird doch immer clientseitig ausgeführt (also bei dir), also was bringt das Injecten von JS-Code? Damit kannst du dir doch quasi nur selbst schaden.
    Besucht auch mein anderes Forum:
    Das Amateurfilm-Forum
    @Marcus Gräfe
    Der Trick bei XSS ist ja, dass der Code auch auf andere Rechner kommt. Ich gehe mal stark davon aus, dass das hier der Fall ist.
    <script type="text/javascript">
    alert("Du wurdest angegriffen!");
    </script>
    Wenn WBB den hier eingegebenen Text nicht richtig verarbeiten würde, dann würde bei jedem, der diesen Thread öffnet (und meinen Post sieht), "Du wurdest angegriffen!" angezeigt werden, weil der Browser das als Script-Tag interpretieren würde.

    @Mokki
    Ich würde mich freuen, wenn Du uns hier auf dem Laufenden halten würdest. Bin für solche Sachen immer sehr zu begeistern.
    Eventuell könntest Du ja mal bei einem Hersteller (sagen wir mal Mozilla) nachfragen, ob das wirklich so ein großes Problem ist. Wenn sich dann rausstellt, dass es doch nicht so schlimm ist, hast Du nicht gleich 10 Unternehmen gleichzeitig an der Backe ;)
    "Luckily luh... luckily it wasn't poi-"
    -- Brady in Wonderland, 23. Februar 2015, 1:56
    Desktop Pinner | ApplicationSettings | OnUtils

    Marcus Gräfe schrieb:

    also was bringt das Injecten von JS-Code

    jmd kann viele tolle cookies damit von einem Client auf seinen Server ziehen und sie dann genüsslich verspeisen.
    Ok Spaß beiseite: Ich kann dann jeglichen Code auf einer Webseite ausfüllen, wenn der Client dort angemeldet ist seine Session stehlen (höchstens die is mit ner Ip verknüpft) etc.

    Niko Ortner schrieb:

    wenn Du uns hier auf dem Laufenden halten würdest

    Mach ich

    Niko Ortner schrieb:

    Bin für solche Sachen immer sehr zu begeistern

    Aber treib damit bitte keinen Schabernak

    Niko Ortner schrieb:

    Wenn sich dann rausstellt, dass es doch nicht so schlimm ist, hast Du nicht gleich 10 Unternehmen gleichzeitig an der Backe

    Naja ich sehe die Lücke als schwer an und wenn die sagen das Problem lieg am Webseitenbetreiber, wird die Lücke veröffentlicht und die Webseiten können wenigstens nachziehen (dann ist es aber leider ne 0day).

    Lg Mokki
    ​Smartnotr - ein intelligentes Notizprogramm
    zum Thread

    So grawierend würde ich das garnicht einstufen. Mozilla hatte in den letzten Versionen immer remote XSS Lücken.
    Hier wäre mal die BugBunty Seite von Mozilla Mozilla Security Bug Bounty

    Bei FireFox kann man sich mit dem Addon No Script dagegen schützen würde ich auch jedem FF -Nutzer empfehlen
    Halt mich nur an das was ich denke und an das was ich eben finde: wiki.mozilla.org/WebAppSec/Web_App_Severity_Ratings in dem Fall wäre es sec-high.

    Und zu Noscript:
    Per Default ist es schon knackbar.

    Deshalb: benutzt sowas und andere Dinge nur dann, wenn ihr au wisst was ihr tut, sonst fühlt ihr euch zu Unrecht sicherer.

    Lg Mokki
    ​Smartnotr - ein intelligentes Notizprogramm
    zum Thread

    Meinst du mit

    ​Und zu Noscript:Per Default ist es schon knackbar.


    in der Defaulteinstellung? Meinst du wegen den default Whitelisteinträgen und das automatisch auch deren Subdomains gewhitelisted sind ?

    Ansonsten ist der Satz "Per Default ist es schon knackbar" so zu verstehen, dass es schon standardmäßig umgangen werden kann (also als wäre es common knowledge) und das ist es meines Wissens nach nicht.
    Das ist meine Signatur und sie wird wunderbar sein!
    Jo ich meint die Whitelist. (Jetzt aber genug OT)
    Ich werd soweit immer mal wieder posten wenn ich sie gemeldet hab, sie gefix wurde etc

    @Marcus Gräfe
    Darf ich den Code nach dem Fix hier posten, oder verstöst des gegen die Boardregeln?

    Lg Mokki
    ​Smartnotr - ein intelligentes Notizprogramm
    zum Thread