home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / hacking / general / cert0152.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  7.4 KB  |  191 lines
  1.  
  2. -----BEGIN PGP SIGNED MESSAGE-----
  3.  
  4. =============================================================================
  5. CERT* Advisory CA-97.20
  6. Original issue date: July 8, 1997
  7. Last revised: -- July 11, 1997 - Updated Appendix A with vendor information
  8.                  for vulnerable browers.
  9.  
  10.                  A complete revision history is at the end of this file.
  11.  
  12.  
  13. Topic: JavaScript Vulnerability
  14. - -----------------------------------------------------------------------------
  15.  
  16. The CERT Coordination Center has received reports of a vulnerability in
  17. JavaScript that enables remote attackers to monitor a user's Web activities.
  18. The vulnerability affects several Web browsers that support JavaScript.
  19.  
  20. The vulnerability can be exploited even if the browser is behind a firewall
  21. and even when users browse "secure" HTTPS-based documents.
  22.  
  23. The CERT/CC team recommends installing a patch from your vendor or upgrading
  24. to a version that is not vulnerable to this problem (see Section III. A).
  25. Until you can do so, we recommend disabling JavaScript (see Section III.B).
  26.  
  27. We will update this advisory as we receive additional information.
  28. Please check our advisory files regularly for updates that relate to your site.
  29.  
  30. - -----------------------------------------------------------------------------
  31.  
  32. I.   Description
  33.  
  34.      Several web browsers support the ability to download JavaScript programs
  35.      with an HTML page and execute them within the browser. These programs
  36.      are typically used to interact with the browser user and transmit
  37.      information between the browser and the Web server that provided the
  38.      page.
  39.  
  40.      JavaScript programs are executed within the security context of the page
  41.      with which they were downloaded, and they have restricted access to other
  42.      resources within the browser. Security flaws exist in certain Web
  43.      browsers that permit JavaScript programs to monitor a user's browser
  44.      activities beyond the security context of the page with which the
  45.      program was downloaded. It may not be obvious to the browser user that
  46.      such a program is running, and it may be difficult or impossible for the
  47.      browser user to determine if the program is transmitting information
  48.      back to its web server.
  49.  
  50.      The vulnerability can be exploited even if the Web browser is behind a
  51.      firewall (if JavaScript is permitted through the firewall) and even when
  52.      users browse "secure" HTTPS-based documents.
  53.  
  54. II.  Impact
  55.  
  56.      This vulnerability permits remote attackers to monitor a user's browser
  57.      activity, including:
  58.  
  59.         * observing the URLs of visited documents,
  60.         * observing data filled into HTML forms (including passwords), and
  61.         * observing the values of cookies.
  62.  
  63.  
  64. III. Solution
  65.  
  66.      The best solution is to obtain a patch from your vendor or upgrade to a
  67.      version that is not vulnerable to this problem. If a patch or upgrade is
  68.      not available, or you cannot install it right away, we recommend
  69.      disabling JavaScript until the fix is installed.
  70.  
  71.      A. Obtain and install a patch for this problem.
  72.  
  73.         We are currently in communication with vendors about this problem.
  74.         See Appendix A for the current information. We will update the
  75.         appendix when we receive further information.
  76.  
  77.      B. Disable JavaScript.
  78.  
  79.         Until you are able to install the appropriate patch, we recommend
  80.         disabling JavaScript in your browser. Note that JavaScript and Java
  81.         are two different languages, and this particular problem is only with
  82.         JavaScript. Enabling or disabling Java rather than JavaScript will
  83.         have no affect on this problem.
  84.  
  85.         The way to disable JavaScript is specific to each browser. The
  86.         option, if available at all, is typically found as one of the Options
  87.         or Preferences settings.
  88.  
  89. ........................................................................
  90. Appendix A - Vendor Information 
  91.  
  92. Below is information we have received from vendors.  We will update this
  93. appendix as we receive additional information.
  94.  
  95. Microsoft
  96. =========  
  97.   Microsoft Internet Explorer 3.* and  4.* are vulnerable.  Microsoft has
  98.   announced their patch plans for this problem at:
  99.         
  100.         http://www.microsoft.com/ie/security/update.htm
  101.  
  102. Netscape
  103. ========
  104.   Netscape Navigator/Communicator versions 2.*, 3.* and 4.* are vulnerable.
  105.   See:
  106.  
  107.         http://www.netscape.com/flash4/assist/security/index.html
  108.  
  109.   for details.
  110.  
  111. - -----------------------------------------------------------------------------
  112. The CERT Coordination Center thanks Vinod Anupam of Bell Labs, Lucent
  113. Technologies, for identifying and analyzing this problem, and vendors for
  114. their support in responding to this problem.
  115. - -----------------------------------------------------------------------------
  116.  
  117. If you believe that your system has been compromised, contact the CERT
  118. Coordination Center or your representative in the Forum of Incident Response
  119. and Security Teams (see http://www.first.org/team-info/).
  120.  
  121.  
  122. CERT/CC Contact Information
  123. - ----------------------------
  124. Email    cert@cert.org
  125.  
  126. Phone    +1 412-268-7090 (24-hour hotline)
  127.                 CERT personnel answer 8:30-5:00 p.m. EST(GMT-5) / EDT(GMT-4)
  128.                 and are on call for emergencies during other hours.
  129.  
  130. Fax      +1 412-268-6989
  131.  
  132. Postal address
  133.          CERT Coordination Center
  134.          Software Engineering Institute
  135.          Carnegie Mellon University
  136.          Pittsburgh PA 15213-3890
  137.          USA
  138.  
  139. Using encryption
  140.    We strongly urge you to encrypt sensitive information sent by email. We can
  141.    support a shared DES key or PGP. Contact the CERT/CC for more information.
  142.    Location of CERT PGP key
  143.          ftp://info.cert.org/pub/CERT_PGP.key
  144.  
  145. Getting security information
  146.    CERT publications and other security information are available from
  147.         http://www.cert.org/
  148.         ftp://info.cert.org/pub/
  149.  
  150.    CERT advisories and bulletins are also posted on the USENET newsgroup
  151.         comp.security.announce
  152.  
  153.    To be added to our mailing list for advisories and bulletins, send
  154.    email to
  155.         cert-advisory-request@cert.org
  156.    In the subject line, type
  157.         SUBSCRIBE  your-email-address
  158.  
  159. - ---------------------------------------------------------------------------
  160. * Registered U.S. Patent and Trademark Office.
  161.  
  162. Copyright 1997 Carnegie Mellon University
  163. This material may be reproduced and distributed without permission provided
  164. it is used for noncommercial purposes and the copyright statement is
  165. included.
  166.  
  167. The CERT Coordination Center is part of the Software Engineering Institute
  168. (SEI). The SEI is sponsored by the U.S. Department of Defense.
  169. - ---------------------------------------------------------------------------
  170.  
  171. This file: ftp://info.cert.org/pub/cert_advisories/CA-97.20.javascript
  172.            http://www.cert.org
  173.                click on "CERT Advisories"
  174.  
  175.  
  176. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  177. Revision history
  178. July 11, 1997 - Updated Appendix A with vendor information
  179.                 for vulnerable browers.
  180.  
  181. -----BEGIN PGP SIGNATURE-----
  182. Version: 2.6.2
  183.  
  184. iQCVAwUBM8YyDnVP+x0t4w7BAQEF5wQAwN30B9mTu296cobg+unDmcLbNZemZxXB
  185. 6e3vsMIrE7q/1ap3TT4P9QJg+QZCa0uW8Zj6vcaRA1CEQIJqab+yx6L/7rlg5EeN
  186. iy/jzixnRQbz/Xtq2A0l0auD5dpoRm6+hPZxb9RSxprPF2vDCTecjZ9oaweDlJsC
  187. L0jSV06EWjg=
  188. =a+6f
  189. -----END PGP SIGNATURE-----
  190.  
  191.