mike

cross-posted from: https://postit.quantentoast.de/post/8107

Eine XSS Schwachstelle im Markdown-Parser von Lemmy-UI (#1895) erlaubt es Javascript Code in Custom Emojis zu injecten.

Die Vulnerability wurde auf anderen Instanzen, darunter auch lemmy.world, bereits ausgenutzt um u.a. JWTs von Usern und insbesondere Admins zu erbeuten. Ich stehe im Kontakt mit anderen Lemmy-Admins und Devs und werde Updates hier kommentieren.

Grob zusammengefasst funktioniert die Attacke wie folgt: Custom Emojis haben einen custom Renderer. Wird ein custom emoji verwendet, wird auch der von der XSS Schwachstelle betroffene custom Renderer aktiviert. Der normale Markdown Renderer ist nicht betroffen. Angreifer können somit die Schwachstelle in existierenden custom Emojis ausnutzen, ohne dass das Emoji selbst malicious ist.

Es ist nicht genau klar, wie weitreichend die Vulnerability ist. Empfohlene Mitigations wurden aber von unserer Seite bereits unternommen:

• Die Datenbank wurde auf malicious Posts, Comments, etc untersucht.
• Alle JWTs wurden zurück gesetzt, wodruch sich alle User neu anmelden müssen.
• Föderation bleibt bis auf weiteres aktiv, da nur local custom emojis und keine federated custom emojis betroffen sein sollen. Die QuantenToast Instanz hat aktuell keine custom Emojis, sollte somit auch nicht betroffen sein.

Ein Fix wurde bereits erstellt; aber noch nicht released. Zuständige Admins und Devs sind informiert und untersuchen den Sachverhalt.

Mehr Informationen:

• https://lemm.ee/post/942359
• https://github.com/LemmyNet/lemmy-ui/issues/1895
• https://github.com/LemmyNet/lemmy-ui/pull/1897

Eine XSS Schwachstelle im Markdown-Parser von Lemmy-UI (#1895) erlaubt es Javascript Code in Custom Emojis zu injecten.

Die Vulnerability wurde auf anderen Instanzen, darunter auch lemmy.world, bereits ausgenutzt um u.a. JWTs von Usern und insbesondere Admins zu erbeuten. Ich stehe im Kontakt mit anderen Lemmy-Admins und Devs und werde Updates hier kommentieren.

Grob zusammengefasst funktioniert die Attacke wie folgt: Custom Emojis haben einen custom Renderer. Wird ein custom emoji verwendet, wird auch der von der XSS Schwachstelle betroffene custom Renderer aktiviert. Der normale Markdown Renderer ist nicht betroffen. Angreifer können somit die Schwachstelle in existierenden custom Emojis ausnutzen, ohne dass das Emoji selbst malicious ist.

Es ist nicht genau klar, wie weitreichend die Vulnerability ist. Empfohlene Mitigations wurden aber von unserer Seite bereits unternommen:

• Die Datenbank wurde auf malicious Posts, Comments, etc untersucht.
• Alle JWTs wurden zurück gesetzt, wodruch sich alle User neu anmelden müssen.
• Föderation bleibt bis auf weiteres aktiv, da nur local custom emojis und keine federated custom emojis betroffen sein sollen. Die QuantenToast Instanz hat aktuell keine custom Emojis, sollte somit auch nicht betroffen sein.

Ein Fix wurde bereits erstellt; aber noch nicht released. Zuständige Admins und Devs sind informiert und untersuchen den Sachverhalt.

Mehr Informationen:

• https://lemm.ee/post/942359
• https://github.com/LemmyNet/lemmy-ui/issues/1895
• https://github.com/LemmyNet/lemmy-ui/pull/1897
• https://lemmy.world/comment/1064402

Update 17:56 Uhr: Es gibt einen Release mit einem Fix. Wir haben das lemmy-ui Update für 0.18.2-rc.1 aufgespielt.

Update 20:36 Uhr: Update auf 0.18.2-rc.2

Ein neues Feature in Firefox 115 blockiert einige Add-Ons auf bestimmten Seiten:

Certain Firefox users may come across a message in the extensions panel indicating that their add-ons are not allowed on the site currently open. As of Firefox version 115, we have introduced a new back-end feature to only allow some extensions monitored by Mozilla to run on specific websites for various reasons, including security concerns.

Zum deaktivieren dieses tollen "Features" in der about:config die Option extensions.quarantinedDomains.enabled togglen auf false.

Es mag sein, dass bspw. auf Banking-Seiten nicht jedes verfügbare Add-On gutmütig ist, aber im Hintergrund beliebige Add-Ons abzuschalten gefällt mir persönlich nicht. Wer entscheidet aus welchen Gründen welches Add-On auf welcher Seite aktiv sein darf?.

Aufmerksam geworden durch Mastodon Post von Kuketz-Blog

Das Datensendeverhalten fließt nur zu 5% und die Datenschutzerklärung gar nicht in die Wertung mit ein. Und das bei einer App die überhaupt nicht notwendig ist...

Der original Beitrag liegt hinter einer Paywal.

Ein Raum für Diskussionen und Neuigkeiten allgemein technischer Themen, IT Sicherheit und Privatsphäre.

Über Tech'n Privacy

Diese Community ist die Fediverse Variante des (aktuell privaten) TP-Matrix Raums. Bisher wurden dort alle möglichen Themen diskutiert: Self-Hosting, online privacy, 3D Druck oder auch einfach random Themen zwischen durch. Der Austausch von Neuigkeiten ist ebenfalls ein großer Bestandteil der Community.

Jeder ist willkommen der Community in aktiver, oder passiver Form beizutreten.

• Fragen? Einfach stellen.
• News? Teile sie mit uns.
• Eigene Projekte? Wir sehen gerne Neues!

Für diese Community gilt der Berlin Code of Conduct. Ganz einfach.

Hinweis

Bitte achtet beim Posten darauf, keine sensiblen Daten zu veröffentlichen. Durch die Föderation des Fediverse werden Posts, Kommentare und andere Interaktionen auf dritte Server übertragen.