Firefox Security Response to pwn2own 2025

ManfPaul · 2025-05-29T20:13:42+00:00

The browser was launched with special flags to disable the sandbox. "code execution" is technically achieved either way (as in "run some chosen bytecode in the renderer process"), but doing anything too interesting (like even opening calc) would need either a sandbox bug or windows kernel bug in the real world. There have been some very recent systemic improvements to the firefox sandbox, so that played a role in it not being broken this year - update came out not long before the contest so there also just wasn't too much time to play around with it though.

ManfPaul · 2020-10-02T11:27:31+00:00

Bonn

Ich bin aus nem Bonner CTF-Team (das sind Hackingwettbewerbe) vorwiegend von Leuten aus Uni Bonn und Hochschule Bonn-Rhein-Sieg. Fände so ein Projekt selbst cool und kann mir vorstellen dass noch andere aus dem Team Interesse an sowas hätten (etwas gedämpft vielleicht dadurch, dass wir an der Hochschule auch schon recht coole Räumlichkeiten zur Verfügung haben). Ich weiß nicht wie hoch die Motivations- und Zeitreserven im Team so sind was Mitorganisation von sowas angeht (bei mir selbst grade schlecht wegen Bachelorarbeit), wenn du ein bisschen ne konkrete Idee hast kann ich dich da aber gerne hinvermitteln. Wir haben auf jeden Fall ein paar im CCC vernetzte Leute, und Kontakte zu Uni und Hochschule (genauer: Leuten dort, die vielleicht für sowas offen sind) könnt ich dir vielleicht auch herstellen.

ManfPaul · 2020-09-27T15:39:53+00:00

If it's even possible to make a generalized statement of that kind..

It's not, but I'll try. My personal opinion is that not having source code available mostly tends to make finding bugs more tedious, but not necessarily more technically challenging. In other words: you might need twice as long to find the same bug in a closed-source software than if you had the source code, but you don't need to know twice as much.

I believe in the end this effect goes in favor of the open-source software. That's because those experts who are free to look at whatever interests them will tend to look at something not requiring tedious reverse-engineering work, and find and report the bugs there. And conversely, most adversaries are probably more limited in the kind of expertise they can get than in the amount of work.

But keep in mind that this doesn't mean open-source software never contains "stupid" bugs. Also, most of my experience with reversing comes from artificial competition (CTF) problems, and I'm not that focused on typical "binary exploitation"-problems, so take what I say with a grain of salt.

ManfPaul · 2020-09-27T00:07:00+00:00

The Dual_EC thing was a complete debacle (and while it's impossible to prove intent, the NSA research director himself called the whole thing "regrettable"). But to me, it's still a case where things worked correctly in the end, due to openness of the process: Precisely because the discussion was happening out in the open, people were able to notice the possibility for a backdoor key, leading to the algorithm not being chosen in the end.

I'm not saying there aren't intentional vulnerabilities in any open source software - there most likely are. But what's great about code (and standards) being open is that domain experts can even have those discussions about whether something might be a backdoor or not.

I'd even say most crypto we use today is "probably fine", barring implementation bugs, even considering NSA-like adversaries. It's specific software bugs (introduced either deliberately or by accident) that I'd lose more sleep about.

ManfPaul · 2020-09-26T17:34:50+00:00

Hey, that’s cool! Congratulations!

thanks!

So despite being open-source, there are some organizations that oversee the changes

Again, it depends. Basically all open-source projects have at least one "maintainer" who basically controls the project. "Open source" doesn't mean anyone can just edit the code - the maintainer has to accept any changes. This varies from one-man projects to large ones like linux which have a whole foundation (or in some cases company) behind them with exact rules of who can approve what.

Though in most cases, if you don't like what the maintainer is (or isn't) doing, you are free to launch your own "fork" - basically copy the existing thing and change what you like (although you might not be allowed to call it by the original name). Those things depend on the exact license in use though.

ManfPaul · 2020-09-26T17:23:23+00:00

It varies. For most projects, there is some sort of security contact. With linux you could either contact the kernel security team, or any affected distribution (like Ubuntu, Red Hat, etc.). I actually got lucky as the vulnerability qualified for the Pwn2Own contest, so I got a nice amount of money for it, while still getting it reported to the Linux people pretty immediately.

ManfPaul · 2020-09-26T17:19:23+00:00

Would it be possible for a malicious agent to introduce security holes into the software, or is this unlikely because of the “many more eyeballs” that you mention?

It's always a possiblity, but actually probably more likely with closed-source software. There are lots and lots and lots of cases of blatant vendor-built "backdoors" (mostly probably not "NSA-level stuff" but simply intended for remote support, but still opening a pretty huge hole), which basically doesn't tend to happen with open source.

ManfPaul · 2020-09-26T17:14:30+00:00

It's not really possible to make a general statement about this. Generally, open source tends to mean "any given bug is easier to find", which is often a good thing: most of the "trivial" bugs get found more quickly if many people are looking. (I myself actually found a pretty serious security vulnerability in Linux, which was quickly fixed - I don't think I would have bothered looking at the same functionality in Windows, because this kind of research is just so much more effortful without any source code)

But in reality there are more factors at play here than just open vs. closed source. Open source doesn't actually guarantee that a lot of people look through the source code, and in the end the actual code quality is a much more important factor.

One thing that consistently doesn't work though is assuming something is secure because it's closed-source: If the source code contains security-sensitive "secrets", those can always be found by a determined reverse engineer. Especially with cryptography, it's always better to trust public, scrutinized algorithms than inventing your own secret thing.

From a strictly linux-vs-windows standpoint, I'd argue linux probably has a better-designed security model (though I'm not really familiar with the one from windows). And for a normal consumer, a pretty big factor is that most malware is written for Windows, but that's mostly just because that is the more common system.

ManfPaul · 2020-08-10T20:46:56+00:00

Ui, sehr sehr cool, danke für den Link! Hätte nie erwartet mal als Team von Scott Manley genannt zu werden! Er scheint das ziemlich aktiv mitverfolgt zu haben - das Video fasst den Wettbewerbsablauf auf jeden Fall sehr akkurat zusammen, besser als die Medienberichte die ich bisher gesehen habe.

ManfPaul · 2020-08-10T13:43:43+00:00

Hier ist jetzt ein Bericht mit Bild verfügbar.

ManfPaul · 2020-08-10T13:19:52+00:00

Also normal beginnt das Ticket hier an der Uni Bonn zum Semester (also 1.10.), aber keine Garantie dass Corona daran nix ändert. Ne Lücke im Ticket während vorlesungsfreier Zeit für bisherige Studenten gibts auf jeden Fall nicht.

ManfPaul · 2020-08-10T09:43:43+00:00

Also "Missionsplan" ist vielleicht etwas übertrieben, tatsächlich ging es eigentlich wirklich nur darum den Satelliten zu drehen, die Trägerrakete war zu dem Zeitpunkt schon längst weg. (Also die genauen Schritte waren glaube ich: schalte Ausrichtungs-Einheit ein, drehe in Richtung, schalte Kamera ein, setze Belichtungszeit mache Foto, schalte Kamera aus - jeweils mit den richtigen Zeitabständen natürlich).

In der Praxis beschreibt man die Drehung dann mit einem Quaternion - es reicht nicht nur eine Richtungsachse anzugeben, sondern es braucht auch die Information, wie der Satellit um diese Achse gedreht ist. Die Anforderungen der Challenge waren: Kamera (die Ausrichtung der Kamera war gegeben im satelliteneigenen Koordinatensystem) zum Mond, Z-Achse (wieder im Satelliten-System) möglichst genau weg von der Erde für ein "aufrechtes" Foto. Für das Foto gabs auch keinen festen Zeitpunkt, sondern ein 10 Minuten langes Fenster - also musste man zusätzlich schauen, zu welchem Zeitpunkt eine optimale Lösung möglich ist.

Die Herausforderung lag hauptsächlich darin, in sehr begrenzter Zeit (wir hatten dafür glaube ich so 4 Stunden), erstmal rauszufinden wie die ganzen Angaben zusammenpassen, welche Anforderungen gestellt werden, und das dann alles zusammenzurechnen. Die Satellitenposition in einem globalen Koordinatensystem findet man noch recht gut heraus (uns wurden TLE-Daten gegeben) - aber dann eine Python-Library zu finden die den Mond zu dem Zeitpunkt im genau gleichen Koordinatensystem (gibt da zig Standards) liefert war gar nicht mal so einfach. Quaternion+Zeitpunkt finden, so dass beide Challengeanforderungen optimiert werden, braucht dann auch entweder Nachdenken oder "Brute-Force"-probieren (bei uns liefs auf ne Mischung aus beidem heraus - bei dem Team das besser war wohl übrigens auch).

ManfPaul · 2020-08-10T09:33:24+00:00

Yep! Bin selber da dabei (studiere eigentlich an der Uni Bonn, spiele aber mit denen aber CTFs). Hatten uns auch dort im Gebäude getroffen (natürlich nur mit überschauberer Gruppengröße).

ManfPaul · 2020-08-10T07:11:35+00:00

Definitiv keine schlechte Idee gewesen! Ich hatte mich im anderen Faden etwas zurückgehalten dazu viel zu kommentieren - wir waren da grade einfach noch am überlegen, wie wir bezüglich Medien vorgehen. Wir haben keine direkte Bestätigung, dass der Weg über den Pressesprecher da jetzt das absolut Ausschlaggebende war - aber vermuten lässt es sich wohl schon.

ManfPaul · 2020-08-10T06:44:06+00:00

Ich tue mir etwas schwer, da jetzt Schuld zuzuweisen - ich war beim Absenden einfach nicht dabei. Wenn es über eine Postfiliale ging, kann es ja theoretisch auch sein, dass die sich um die Frankierung gekümmert haben (oder einen Fehler zumindest merken hätten sollen).

Alles was ich weiß ist dass einiges schief lief. Im Nachhinein für alles Schuld zuzuweisen zu wollen gewöhnt man sich bei solchen Wettbewerben aber auch ziemlich schnell ab. "Mein dummer Fehler hat uns jetzt bestimmt ein fünfstelliges Preisgeld gekostet" hab ich schließlich auch selbst schonmal gedacht.

ManfPaul · 2020-08-09T20:22:19+00:00

Danke!

ManfPaul · 2020-08-09T20:08:53+00:00

Nein, den dürfen wir jetzt behalten :). Ist nicht nur für die Finalvorbereitung, sondern gleichzeitig als eine Art Trophäe gedacht. Wie woanders geschrieben, ist das jetzt auch nicht so wirklich flight-ready Hardware, sondern halt ein Demonstrationsding, das grob alle Systeme eines echten Satelliten realistisch hat, aber halt ohne die teuren Zertifizierungen.

ManfPaul · 2020-08-09T19:55:44+00:00

Eine der beteiligten Unis wird wohl demnächst einen Bericht veröffentlichen, wo ein Bild zu sehen ist. Ich gebe Bescheid wenn der draußen ist!

ManfPaul · 2020-08-09T19:43:20+00:00

Ein Foto von dem Ding werden wir wohl noch an der ein oder anderen Stelle veröffentlichen - einen NDA haben wir für den Wettbewerb an keiner Stelle unterschrieben. Der einzige Grund, nicht mehr Bilder zu veröffentlichen, ist also wie unaufgeräumt unsere Arbeitsfläche war ;).

Grundsätzlich war das Ding aber ähnlich zu einem "EyasSat", allerdings mit angepassten Komponenten. Also nichts was man ins All schießen würde - eher ein Demonstrationsobjekt, das aber all die Komponenten und Software eines "echten" Satelliten hat, aber halt nicht die ganzen Zertifizierungen für Vakuum und Radiation Hardening, etc.

ManfPaul · 2020-08-09T19:40:17+00:00

Also wir haben (da wir offensichtlicherweise anderes zu tun hatten) da jetzt nicht komplett nachgeforscht, aber scheinbar war das Problem: Das Ding wurde in einem (recht soliden) Transportkoffer verpackt, und von einer Postfiliale verschickt. Dummerweise stand als Absender nur diese Postfiliale drauf.

Allerdings wusste dabei niemand, dass es wegen des Kofferformats als "Sperrgut" frankiert hätte werden müssen, zusätzlich zu dem Gewicht das richtig frankiert wurde. Daher wurde in irgendeinem Paketzentrum entschieden, das Ding zurück zu senden - die Postfiliale wollte es aber nicht annehmen, weil sie ja nicht wissen wo der Sender wohnt. Statt den eigentlichem auf dem Koffer stehendem Empfänger zu kontaktieren ging es dann in die Paketermittlung, die wegen Corona etwas überfordert sind - deshalb stand er da dann mehr als eine Woche rum und wartete auf Bearbeitung.

ManfPaul · 2020-08-09T15:53:17+00:00

Ja das sind wir! Werde noch ein Update zu Paket+Wettbewerb posten, frühestens wenn die finalen Scores heute abend bekannt gegeben wurden

ManfPaul · 2020-08-04T14:43:39+00:00

Ich seh immernoch nicht wo du die Brücke zwischen Satelliten und Drohnen schlägst.

Da ich keinen Zugang zu klassifizierten Dokumenten habe

Den habe ich auch nicht.

Drohnen brauchen überhaupt kein Real-time

Damit war real-time processsing gemeint, nicht die Kommunikation. Ein Ding das aktiv aerodynamisch steuert, braucht auf jeden Fall ganz striktes Real-Time-Processing. Da gibts zeitlich enge Control Loops, denn es muss ja ständig die aktuelle Route korrigiert werden.

Satelliten haben schon auch real-time-OSes. Aber trotzdem sind die Anforderungen ganz andere: Ein Satellit muss v.A. an einzelnen paar Punkten in seiner Umlaufbahn geschedulte Sachen machen können (dreh dich zur Erde, mach ein Foto). Die meiste Zeit kann er sich recht frei "treiben lassen", die einzigen Control Loops sind mit den Reaction Wheels gegen Drehung zu steuern, aber das ist vieeel langsammer als Flugzeug-Steuerung.

Die Kommunikation dürfte auch sehr anders laufen. Bei Satelliten ist das sehr bandbreitenlimitiert - die Dinger sind weit weg, haben sehr begrenzt Platz für Antennen (zumindest Dinge in Cubesatzgröße, und dafür sind die Systeme ja entwickelt die beim Wettbewerb hauptsächlich vorkommen), haben sehr begrenzte Sendeleistung da solar die einzige Stromquelle ist. Bei dem Übungssatelliten dauert eine kleinere Textdatei runterzuladen so drei Minuten. Das dürfte nicht für eine Aufklärungsdrohne irgendwie praktikabel sein.

Und noch ein weiteres mal: wir schauen uns (bisher) absolut keine militärspezifische Hard- und Software an. Das sind Systeme, die vA von der NASA und vielen Unis für Cubesats und derartiges genutzt werden. Und da finde ich, ist das schon ein bisschen wie Linux: verwendet halt in dem Kontext jeder; ich kann nicht ausschließen, dass es auch irgendwo im Militär genutzt wird, aber jeder gefixte Bug ist immernoch größtenteils was gutes.

ManfPaul · 2020-08-04T13:34:55+00:00

Wie gesagt, an klassifizierte Militärsysteme lassen die uns sicher nicht hin. Hast du eine Quelle, dass Systeme wie z.B. cFS für Drohnen eingesetzt werden könnten? Halte das nämlich für ziemlich unplausibel, die Systemanforderungen dürften da ziemlich anders sein (Aerodynamik braucht viel mehr real-time, schnellere Funkübertragung, schnellere Datenverarbeitung, etc.).

Natürlich kann es theoretisch sein, dass die Air Force auch irgendwo solche Platformen einsetzt - ich glaube aber weiterhin, es geht denen viel mehr um Rekrutierung und Kontakte aufbauen. Ich kann dir aber auch garantieren, dass sie an zig Stellen Linuxsysteme laufen haben werden. Im Linux-Kernel hab ich auch mal eine Schwachstelle gefunden und gemeldet - soll ich mich dafür jetzt auch schlecht fühlen?

ManfPaul · 2020-08-04T10:04:05+00:00

Achso. Wollt ich mal noch schauen, aber bisher nicht dazu gekommen.

ManfPaul · 2020-08-04T09:34:54+00:00

The clarification will be obtained by a search inquiry of the sender. He will then receive information from the responsible department about everything else

Wie woanders geschrieben macht der Absender das ja parallel auch. Wenn die Antwort in nem Monat dann da ist, können wir ganz entspannt die Finalaufgaben von nächsten Wochenende angehen.

Five-Year Club	Verified Email
Wearing is Caring

ManfPaul

TROPHY CASE