只要用Firefox打开一个攻击者特制的HTML文件，就能让攻击者窃取到存储在受害者计算机上的敏感文件。最近，安全专家Barak Tawily提出了这个隐藏在Firefox中长达17年的高危漏洞，他也在自己的博客文章中放出了这个漏洞的细节，并证明即使是最新的Firefox浏览器也存在这个问题。

根据TheHackerNews的说法，安全研究人员Barak Tawily与他们分享了一个潜藏在Firefox中长达17年的漏洞，并且已成功针对最新本的Firefox开发出了PoC。

该安全专家是在分析Firefox中同源策略时发现这个漏洞的。

“最近，我在对同源策略进行研究时，突然发现，由于同源策略中关于文件scheme URIs的方面有缺陷，即使是最新版本的firefox（目前为67），也存在本地文件盗窃漏洞（在任何操作系统上都存在）。现在让我们研究一下POC的细节，看看这到底是怎么回事。”

据Tawily的说法，多年以来，火狐并没有尝试去修复同源策略（SOP）中关于File URI Scheme的缺陷。

Tawily还分享了其PoC的攻击视频。他表示，如果受害者将攻击者的文件保存到某个含有SSH私钥文件的目录中，那么攻击者就可以轻松窃取受害者在Linux系统上的SSH私钥。

视频演示：https://youtu.be/XU223hfXUVY

攻击流程如下：

1.攻击者首先向受害者发送特制的电子邮件，邮件中包含要下载的附件或者是受害者浏览恶意网站并下载文件。

2.受害者打开恶意的HTML文件。

3.HTML文件中的iframe会尝试加载所在文件夹中的文件。例如，如果恶意文件的路径是

file:///home/user/-malicious.html

那么，iframe的数据源路径就是

file:///home/user/

4.一旦受害者点击了恶意HTML上的一个按钮，实际上他点击了iframe中目录列表中的恶意HTML文件（使用了点击劫持技术，利用“内容切换漏洞”（context switching bug）让恶意HTML可以访问文件夹）。

5.此时，恶意iframe将具有高权限，可以读取恶意文件所在文件夹中的任何文件（在大多数情况下，下载文件夹是file:///home/user/）。

6.所以，恶意的HTML文件最终能够读取file:///home/user/中的任意文件。例如，攻击者可以读取file:///home/user/.ssh/ida_rsa中的SSH私钥，然后再向攻击者的服务器发送一个包含私钥内容的请求。

7.以上攻击只要受害者用Firefox浏览器打开一个恶意HTML文件，然后点击一个按钮就可完成。

“Tawily告诉TheHackerNews，在受害者不知情的情况下，只要他们点击恶意HTML页面上的按钮，所有上述攻击可在几秒钟内完成。”

虽然Tawily向Mozilla报告了这个漏洞，但Mozilla似乎并不认为这是一个值得重视的漏洞。

“我们的同源策略就是如此，我们允许每个file://url访问同一文件夹及其子文件夹中所有文件”。

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场：https://nosec.org/home/detail/2745.html
来源：https://securityaffairs.co/wordpress/87928/hacking/firefox-flaw-data-theft.html