Mozilla выпустила внеплановое обновление 39.0.3 для браузера Firefox. В пояснительной записке сказано, что в обновлении закрыта уязвимость в просмотрщике PDF (PDF.js), позволяющая атакующей стороне незаметно для пользователя воровать локальные файлы с компьютера и загружать их на подконтрольный атакующей стороне сервер. Детали реализации эксплоита скрыты от широкой аудитории (1, 2).
Как сказано в записке, вирус был впервые обнаружен в "дикой природе" на одном из российских новостных сайтов - он распространялся через рекламу на этом сайте (не сказано, был ли это дырявый AdWords/AdSense или другая система доставки рекламы). Что это был за сайт - также не сказано (надеюсь, не Роем). Найденные файлы вирус загружал на сервер на Украине.
Вирус работает и под Windows, и под Linux. Интересно, что вирус искал на локальном диске файлы, связанные с разработкой ПО и FTP-серверами. Возможно, чтобы получить доступ к инфраструктуре компаний-разработчиков ПО:
subversion, s3browser, and Filezilla configurations files, .purple and Psi+ account information, and site configuration files from eight different popular FTP clients. On Linux the exploit goes after the usual global configuration files like /etc/passwd, and then in all the user directories it can access it looks for .bash_history, .mysql_history, .pgsql_history, .ssh configuration files and keys, configuration files for remina, Filezilla, and Psi+, text files with “pass” and “access” in the names, and any shell scripts.
>не сказано, был ли это дырявый AdWords/AdSense или другая система доставки рекламы
Некоторые подробности есть в комментах на HN:
«The exploit was not on an ad network. The exploit was simply injected on every news article page through an iframe. Therefore I assume the news site was compromised. It could have been deliberately injected by the website operators, but I highly doubt it.»
https://news.ycombinator.com/item?id=10021865
«In this case, it was disguised as an advertisement but it was not running on an advertisement server. My adblocker did not catch it. It was injected into the page as an iframe twice. Once disguised as an ad ([IP-address]/ad.php), another time with just the IP-address of the server. »
https://news.ycombinator.com/item?id=10021894