Nove dei dieci più popolari di Firefox add-ons, basato sugli utenti, sono vulnerabili alla estensione riutilizzo vulnerabilità che consentono di codice dannoso per sfruttare queste vulnerabilità.
Add-ons sono uno dei tratti distintivi del browser web Firefox. Il più popolare di Firefox add-ons sono utilizzati da milioni di utenti, e poiché il sistema di estensione non limitare aggiungere sviluppatori di quanto su altre piattaforme, alcuni aggiungono cose miracolose per i browser che non sono possibili altrove.
Mentre i ricercatori hanno analizzato il livello di rischio associato con un “tutto passa” add-on di sistema e particolare add-ons sfruttamento, a malapena qualsiasi ricerca è andato in analisi delle interazioni tra le varie estensioni installate nel browser web Firefox, allo stesso tempo, a causa della mancanza di estensione di isolamento.
Nel documento di ricerca CrossFire: Un’Analisi di Estensione di Firefox Ri-Utilizzare le Vulnerabilità, i ricercatori dimostrano una nuova classe di estensione di Firefox attacchi che sfrutta cosa sono le estensioni di chiamata-riutilizzo di vulnerabilità.
In altri termini, si tratta di circa un’estensione utilizzando le funzionalità messe a disposizione da altri per lanciare gli attacchi.
La vulnerabilità si basa su Firefox attuale sistema di estensione, e lì in particolare sul fatto che le estensioni di Firefox possono condividere lo stesso JavaScript spazio dei nomi. Mentre Mozilla suggerito in passato che le estensioni di utilizzare spazi dei nomi univoci, le implicazioni per la sicurezza non sono state esplorate per la maggior parte.
Fondamentalmente, ciò che significa è che un’estensione può “leggere e scrivere le variabili globali definite da altri, chiamata o di ignorare tutte le funzioni globali, e modificare oggetti istanziati”.
La figura mostra come il maligno estensione M sfrutta le capacità dei due legittimi estensioni per scaricare ed eseguire il codice.
Mentre dannoso estensioni in grado di eseguire queste operazioni direttamente, il nucleo differenza sta nel fatto che questi programmi estensioni non passerà di Mozilla processo di revisione necessariamente il che significa che non sarà reso disponibile sul sito ufficiale di Mozilla Add-ons store.
I ricercatori fanno notare che add-ons sfruttando l’estensione di riutilizzare le vulnerabilità sono più difficili da individuare, in quanto non fanno chiamate dirette alle Api che consentono l’attacco, e che sarebbe un notevole sforzo da parte di revisori per rilevare il dolo.
A dimostrazione di ciò, un add-on di Firefox è stato sviluppato e presentato per l’add-on di Firefox repository che è stato progettato per validare le pagine HTML. Un cross-estensione chiamata a sfruttare funzionalità del popolare NoScript add-on è stato aggiunto l’add-on che collegato a un URL di soppiatto e sfruttando globale NoScript variabile.
Inviato estensione superato l’umano e automatizzato il processo di revisione senza avvisi di sicurezza.
Secondo la ricerca, nove su dieci dei più popolari estensioni di Firefox sono vulnerabili a questo attacco forma, ivi compresi NoScript, Firebug, FlashGot e Web di Fiducia. Ulteriori analisi di un campione di 351 le estensioni di top 2000 ha rivelato che oltre il 72% erano vulnerabili per estensione-riutilizzare gli attacchi.
Avvertenze
Per estensione il riutilizzo attacchi di lavoro, gli utenti di Firefox, installare il dannoso di estensione e di almeno un’altra estensione che dannoso estensione exploit.
I ricercatori hanno dimostrato che il codice dannoso può passare Mozilla automatizzato e recensione completa di convalida dei attualmente che aumenta la probabilità che gli utenti di Firefox scaricare e installare sui loro sistemi.
Tuttavia, un nuovo strumento, il CrossFire è stato creato, che consente di automatizzare il processo di ricerca di estensione-riutilizzo di vulnerabilità nel add-ons che dovrebbe diminuire la probabilità che questo accada.
Un commento da parte di Firefox, di cui è vice presidente di Ars Technica evidenzia che Mozilla prevede di introdurre add-on di Firefox sandboxing che l’organizzazione prevede di introdurre, come parte della sua architettura multi-processo di attuazione.