Neuf des dix plus populaires Firefox add-ons, basées sur les utilisateurs, sont vulnérables à l’extension de la réutilisation des vulnérabilités qui permettent malveillants extensions pour exploiter ces vulnérabilités.
Add-ons sont une des caractéristiques du navigateur web Firefox. Les plus populaires Firefox add-ons sont utilisés par des millions d’utilisateurs, et depuis l’extension du système en place ne limite pas l’add-on développeurs sur d’autres plates-formes, certains ajoutent des choses miraculeuses pour le navigateur qui ne sont pas possible ailleurs.
Tandis que les chercheurs ont analysé les risques de sécurité associés à “tout va” ajouter sur le système, et en particulier les add-ons de l’exploiter, à peine n’importe quelle recherche mis en analysant les interactions entre les multiples extensions installées dans le navigateur web Firefox en même temps, en raison d’un manque d’extension de l’isolement.
Dans le document de recherche CrossFire: Une Analyse de l’Extension Firefox Ré-Utiliser les Vulnérabilités, les chercheurs démontrent une nouvelle classe de l’extension Firefox attaques qui exploite ce qu’ils appellent l’extension de la réutilisation des vulnérabilités.
En d’autres termes, il s’agit d’une extension à l’aide de la fonctionnalité fournie par d’autres pour lancer des attaques.
La vulnérabilité repose sur Firefox l’extension actuelle du système, et là, notamment sur le fait que les extensions Firefox peuvent partager le même JavaScript espace de noms. Alors que Mozilla indiqué dans le passé que des extensions de l’utilisation des espaces de noms uniques, les implications en matière de sécurité n’ont pas été explorées pour la plupart.
Fondamentalement, ce que cela signifie, c’est qu’une extension pourrait “lire et écrire dans des variables globales définies par d’autres, d’appel ou de remplacer toutes les fonctions globales, et de modifier les objets instanciés”.
La figure montre comment les malveillants extension M s’appuie sur les fonctionnalités de deux légitime extensions de télécharger et d’exécuter du code.
Alors que les extensions malveillantes peuvent effectuer ces opérations ainsi directement, la principale différence réside dans le fait que ces extensions malveillantes de ne pas passer à Mozilla processus d’examen nécessairement ce qui signifie qu’ils ne seront pas mis à disposition sur le site officiel de Mozilla Add-ons magasin.
Les chercheurs notent que des add-ons en tirant parti de l’extension de la réutilisation des vulnérabilités sont plus difficiles à détecter car elles ne font pas de diriger les appels à l’Api qui permettent à l’attaque, et qu’il faudrait un effort considérable par les évaluateurs pour détecter une intention malveillante.
Pour illustrer cela, un add-on Firefox a été élaboré et soumis à l’add-on Firefox référentiel qui a été conçu pour valider les pages HTML. Une croix-extension de l’appel à tirer parti des capacités de la populaire NoScript add-on a été ajouté à l’add-on qui est connecté à un URL furtivement ainsi tirer parti d’un mondial NoScript variable.
Le soumis extension passé le automatisées et processus d’examen sans avertissements de sécurité.
Selon la recherche, neuf sur dix des plus populaires, les extensions Firefox sont vulnérables à cette attaque la forme, y compris NoScript, Firebug, FlashGot et Web de Confiance. Outre l’analyse d’un échantillon de 351 extensions dans le top 2000 a révélé que plus de 72% étaient vulnérables à l’extension de la réutilisation des attaques.
Mises en garde
Pour l’extension de la réutilisation des attaques de travail, les utilisateurs de Firefox installer à la fois la malveillant extension et au moins une autre extension que l’malveillants extension exploits.
Les chercheurs ont démontré que les malveillants, les extensions peuvent passer Mozilla est automatique, et un examen complet de validation actuellement, ce qui augmente la probabilité que les utilisateurs de Firefox télécharger et de les installer sur leurs systèmes.
Toutefois, un nouvel outil appelé CrossFire a été créé qui automatise le processus de recherche de l’extension de la réutilisation des vulnérabilités dans les add-ons qui devrait réduire la probabilité que cela se produise.
Un commentaire par Firefox est le vice-président sur Ars Technica souligne que Mozilla prévoit d’introduire Firefox add-on “bac à sable” que l’organisation prévoit d’introduire dans le cadre de son multi-architecture de processus de mise en œuvre.