Negen van de tien van de meest populaire add-ons van Firefox, gebaseerd op de gebruikers, zijn kwetsbaar voor de uitbreiding van hergebruik kwetsbaarheden waarmee kwaadaardige extensies maken gebruik van deze kwetsbaarheden.
Add-ons zijn een van de kenmerken van de Firefox web browser. De meest populaire Firefox-add-ons worden gebruikt door miljoenen gebruikers, en sinds de uitbreiding systeem niet beperken add-on ontwikkelaars zo veel als op de andere platforms, sommige toevoegen wonderbaarlijke dingen naar de browser dat niet mogelijk is elders.
Terwijl onderzoekers hebben geanalyseerd van de security risico ‘ s verbonden met een “alles” add-on systeem en bepaalde add-ons uitbuiten, nauwelijks onderzoek ging in het analyseren van interacties tussen meerdere extensies geïnstalleerd in de Firefox web browser op hetzelfde moment te wijten aan een gebrek aan extensie isolatie.
In het onderzoek van papier CrossFire: Een Analyse van de Firefox-Extensie Opnieuw Gebruik maken van zwakke plekken, de onderzoekers aantonen dat er een nieuwe klasse van Firefox extensie aanvallen die misbruik maakt van wat zij noemen extensie-hergebruik kwetsbaarheden.
In lekentermen, het gaat over een uitbreiding van het gebruik van de functionaliteit die wordt geboden door anderen om aanvallen te lanceren.
De kwetsbaarheid is gebaseerd op Firefox de huidige uitbreiding van het systeem, en er in het bijzonder op het feit dat Firefox extensies kunnen delen dezelfde JavaScript-naamruimte. Terwijl Mozilla voorgesteld in het verleden extensies maken gebruik van unieke naamruimten, de gevolgen voor de veiligheid hebben niet onderzocht voor het grootste deel.
In principe, wat dit betekent is dat er een uitbreiding zou kunnen “lezen van en schrijven naar de globale variabelen gedefinieerd door anderen, bel of overschrijven alle globale functies en wijzigen van objecten geïnstantieerd”.
De figuur laat zien hoe de kwaadaardige extensie M maakt gebruik van de mogelijkheden van twee legitieme extensies te downloaden en uit te voeren code.
Terwijl kwaadaardige extensies kunt deze bewerkingen uitvoeren en direct de kern van het verschil ligt in het feit dat deze kwaadaardige extensies niet doorgeven van Mozilla ‘ s review proces noodzakelijk, wat betekent dat ze niet zal beschikbaar worden gemaakt op de officiële Mozilla-Add-ons-winkel.
De onderzoekers er rekening mee dat add-ons leveraging extensie-hergebruik kwetsbaarheden zijn moeilijker op te sporen omdat ze niet direct bellen naar de Api ‘ s waarmee de aanval, en dat het een aanzienlijke inspanning van reviewers die kwaadaardige bedoelingen.
Om dit aan te tonen, een Firefox add-on is ontwikkeld en voorgelegd aan de Firefox add-repository die is ontworpen voor het valideren van HTML-pagina ‘ s. Een cross-extensie bellen benutten van de mogelijkheden van de populaire NoScript add-on is toegevoegd aan de add-on die verbonden is aan een URL stiekem ook gebruik te maken van een wereldwijde NoScript variabele.
De ingediende uitbreiding geslaagd voor de geautomatiseerde en de menselijke review proces zonder veiligheidswaarschuwingen.
Volgens het onderzoek, negen van de tien van de meest populaire Firefox-extensies zijn kwetsbaar voor deze aanval vormen met inbegrip van NoScript, Firebug, FlashGot en Web van Vertrouwen. Verdere analyse van een monster van 351 extensies uit de top 2000 bleek dat meer dan 72% waren kwetsbaar voor extensie-hergebruik aanvallen.
Voorbehoud
Voor extensie-hergebruik aanvallen te werken, Firefox gebruikers moeten zowel de kwaadaardige extensie en ten minste één andere extensie die de kwaadaardige extensie exploits.
De onderzoekers aangetoond dat de kwaadaardige extensies kunnen passeren Mozilla ‘ s automatische en volledige review validatie moment dat verhoogt de kans dat gebruikers van Firefox downloadt ze en installeer ze op hun systemen.
Echter, een nieuwe tool genaamd CrossFire is gemaakt dat automatiseert het proces van het vinden van extensie-hergebruik van kwetsbaarheden in de add-ons die moeten verminderen de kans dat zoiets gebeurt.
Een reactie door Firefox, vice-president op Ars Technica benadrukt dat Mozilla vast te leggen met de Firefox add-on ‘sandboxing’ – dat de organisatie van plan is in te voeren als onderdeel van de multi-process architecture implementatie.