Sicherheitsproblem mit Firefox?

30/08/2011 - 09:45 von Torben Keil | Report spam
Hallo zusammen,

ich habe hier ein merkwürdiges Problem mit meinem frisch installierten
Firefox 6. Es werden Dateien nach dem Herunterfahren des Systems veràndert.

Nach dem Herunterladen und Entpacken des aktuellen Firefox bei mozilla.org
funktioniert er tadellos.
Wàhrend des Surfens (z.B. bei heise.de und golem.de) bekomme ich eine
Meldung in der Konsole, daß offensichtlich eine JPEG-Datei eine unerwartete
Größe aufweist. Den genauen Wortlaut kann ich jetzt nicht wiedergeben. Da
war irgendetwas in Richtung wie ... mehr Daten als im Header angegeben ...

Auf Grund dieser Meldung habe ich den FF beendet und das Verzeichnis
gelöscht. Danach das frisch heruntergeladene tar.bz2 neu extrahiert und
vorhsichthalber über alle Dateien eine MD5sum laufen lassen:

5707c1bc77555ecc4d0a9c9a1de300df firefox/application.ini
cffef8d2cdd0d20f94d920ed3fc4e317 firefox/blocklist.xml
8f2e87a15606de2ad90c1e6deaed4624 firefox/chrome.manifest
2b4ba4ac78d576abb00729ce603aa863 firefox/crashreporter
e363433d97612e47018edbe8e1f795bb firefox/crashreporter.ini
6ca4e6051646791a2e17e991c9c09620 firefox/crashreporter-override.ini
2dfd5d8bba6831753a57789e72e87ff3 firefox/dependentlibs.list
64e4f0031672659f4de7e68abbc6e7c1 firefox/firefox
76699c2c569dc062d79d8800b5cd62aa firefox/firefox-bin
ccf836a2d50e342887b3b307ff0bd4fd firefox/libfreebl3.chk
5b8a7a4a1cf5113b2b9126fa0fd52158 firefox/libfreebl3.so
e3e8f72ad3fd40ec95728b4124154a0b firefox/libmozalloc.so
b44a42946566fa21816995592a04339b firefox/libmozsqlite3.so
217444e467258dbad897416dc7041e08 firefox/libnspr4.so
7154d8788264104215fc03fec7e49e6c firefox/libnss3.so
b34db7424aaadff776cbb480738cad9b firefox/libnssckbi.so
197ba14a5e6d18fe602e9ae50decbe61 firefox/libnssdbm3.chk
002d4464b22675b01591d8648ebd712f firefox/libnssdbm3.so
b46b496f3466eae6aac93c6794397cf4 firefox/libnssutil3.so
06b47e3856df2e897bab004862aa409f firefox/libplc4.so
34b8c7f629dfa57069f118a9c4963d43 firefox/libplds4.so
0747e5706d0b70435eea7cd075094780 firefox/libsmime3.so
56f8b266356ce2ba5ceb1b5cb8c88696 firefox/libsoftokn3.chk
875bc6696fae72fd0d8b28d4a242ad30 firefox/libsoftokn3.so
f5499324dbdb39c28586c46aa600d773 firefox/libssl3.so
6c7f371165b4a37e9ebdd1055b50a118 firefox/libxpcom.so
d8b6aad35c7590b3164be3f4aefc231d firefox/libxul.so
aeb4e7c78631e61bf9c03c737b6ada94 firefox/mozilla-xremote-client
86634027b451530d48ab6bbff29abae9 firefox/omni.jar
12e908ea54223e8181b175e409686389 firefox/platform.ini
6fb5f3b53afa6db256b93b250364ed19 firefox/plugin-container
17d8a495cbf6f7baecd2c5e19034a1ce firefox/precomplete
cee4eb47ee182fe58f3434fbe3debb90 firefox/README.txt
6b4d478632ab235cbd11fb92b0942906 firefox/removed-files
a03f0674796fae90b732943fcccfad69 firefox/run-mozilla.sh
40418383947fe6335056fce05abe44a2 firefox/Throbber-small.gif
7a962319edcd63991e559d62f2d91b3b firefox/update.locale
9648bb4f10bbd65e9266e65af199129a firefox/updater
09082911dc4196942c4da6d02b368e2c firefox/updater.ini

Danach den Firefox wieder gestartet und gesurft. Die ominöse Meldung
erschien nocheinmal. Ein Check mit Hilfe der MD5-Summe hat aber nichts
auffàlliges ergeben.
Der Tag war zu Ende und ich fahre das System herunter. Am nàchsten Tag (also
heute) wollte ich den FF wieder starten und er stürzt mit einem
Segmentation-Fault ab.

Der MD5-Check ergab folgendes:
$md5sum -c md5sum-firefox.txt | grep FEHLSCHLAG
firefox/libmozsqlite3.so: FEHLSCHLAG
firefox/libnss3.so: FEHLSCHLAG
firefox/libnssdbm3.so: FEHLSCHLAG
firefox/libssl3.so: FEHLSCHLAG
firefox/libxul.so: FEHLSCHLAG
firefox/omni.jar: FEHLSCHLAG

-rwxr-xr-x 1 keilt keilt 0 12. Aug 03:47 firefox/libmozsqlite3.so
-rwxr-xr-x 1 keilt keilt 0 12. Aug 03:47 firefox/libnss3.so
-rwxr-xr-x 1 keilt keilt 0 12. Aug 03:47 firefox/libnssdbm3.so
-rwxr-xr-x 1 keilt keilt 0 12. Aug 03:47 firefox/libssl3.so
-rw-r--r-- 1 keilt keilt 0 12. Aug 03:51 firefox/omni.jar
-rwxr-xr-x 1 keilt keilt 0 12. Aug 03:47 firefox/updater
-rwxr-xr-x 1 keilt keilt 21M 12. Aug 03:47 firefox/libxul.so
-rwxr-xr-x 1 keilt keilt 21199984 12. Aug 03:47 firefox/libxul.so
firefox/libxul.so: ELF 32-bit LSB shared object, Intel 80386, version 1
(SYSV), dynamically linked, stripped

Interessant hierbei: Die Datei libxul.so ist in ihrer Größe gleich
geblieben. Aber am Inhalt hat sich offenbar etwas getan.

Was aber noch wichtiger ist: Die Änderungen werden erst beim
Herunterfahren/Booten des Systems durchgeführt.


An dieser Stelle möchte ich diese Informationen den Kollegen aus der
Comupter-Forensik übergeben und hoffe auf Informationen wie man ohne ewiges
Neuinstallieren weiterarbeiten kann.

Mein System: Debian Squeeze 6.0.2 Kernel: 2.6.32-5-amd64


Grüße,
Torben
 

Lesen sie die antworten

#1 Thomas Bächler
30/08/2011 - 10:56 | Warnen spam
Am 30.08.2011 09:45, schrieb Torben Keil:
Wàhrend des Surfens (z.B. bei heise.de und golem.de) bekomme ich eine
Meldung in der Konsole, daß offensichtlich eine JPEG-Datei eine unerwartete
Größe aufweist. Den genauen Wortlaut kann ich jetzt nicht wiedergeben. Da
war irgendetwas in Richtung wie ... mehr Daten als im Header angegeben ...



Eine beschàdigte jpeg-Datei im Internet, das klingt wirklich ungewöhnlich.

Dass firefox (bzw. seine zustàndige jpeg-Bibliothek) das sogar gemerkt
hat làsst vermuten, dass ein gegebenenfalls bösartig manipuliertes jpeg
in diesem Fall keinen Schaden anrichten konnte.

Danach den Firefox wieder gestartet und gesurft. Die ominöse Meldung
erschien nocheinmal. Ein Check mit Hilfe der MD5-Summe hat aber nichts
auffàlliges ergeben.
Der Tag war zu Ende und ich fahre das System herunter. Am nàchsten Tag (also
heute) wollte ich den FF wieder starten und er stürzt mit einem
Segmentation-Fault ab.

Der MD5-Check ergab folgendes:
$md5sum -c md5sum-firefox.txt | grep FEHLSCHLAG
firefox/libmozsqlite3.so: FEHLSCHLAG
firefox/libnss3.so: FEHLSCHLAG
firefox/libnssdbm3.so: FEHLSCHLAG
firefox/libssl3.so: FEHLSCHLAG
firefox/libxul.so: FEHLSCHLAG
firefox/omni.jar: FEHLSCHLAG

-rwxr-xr-x 1 keilt keilt 0 12. Aug 03:47 firefox/libmozsqlite3.so
-rwxr-xr-x 1 keilt keilt 0 12. Aug 03:47 firefox/libnss3.so
-rwxr-xr-x 1 keilt keilt 0 12. Aug 03:47 firefox/libnssdbm3.so
-rwxr-xr-x 1 keilt keilt 0 12. Aug 03:47 firefox/libssl3.so
-rw-r--r-- 1 keilt keilt 0 12. Aug 03:51 firefox/omni.jar
-rwxr-xr-x 1 keilt keilt 0 12. Aug 03:47 firefox/updater
-rwxr-xr-x 1 keilt keilt 21M 12. Aug 03:47 firefox/libxul.so
-rwxr-xr-x 1 keilt keilt 21199984 12. Aug 03:47 firefox/libxul.so
firefox/libxul.so: ELF 32-bit LSB shared object, Intel 80386, version 1
(SYSV), dynamically linked, stripped

Interessant hierbei: Die Datei libxul.so ist in ihrer Größe gleich
geblieben. Aber am Inhalt hat sich offenbar etwas getan.



Interessant hierbei:

1) Die Datein die du ausführst gehören dem User, der sie ausführt. Wenn
du so sicherheitsfanatisch bist, wieso gehören sie nicht root? So wàre
ausgeschlossen, dass die Dateien von einem "Schàdling" modifiziert
werden, den du als User "startest".

2) Die Dateien (außer libxul.so) haben Dateigröße 0. Natürlich
funktioniert firefox nicht, wenn seine Bibliotheken leer sind. Das sieht
alles eher nach einem Fehler im Dateisystem aus, als nach irgendeiner
Art Sicherheitsproblem.

Was aber noch wichtiger ist: Die Änderungen werden erst beim
Herunterfahren/Booten des Systems durchgeführt.



Was meine Vermutung nach einem Problem mit dem Dateisystem erhàrtet.

Mein System: Debian Squeeze 6.0.2 Kernel: 2.6.32-5-amd64



Dateisystem?

Ähnliche fragen