Ni av de ti mest populære Firefox add-ons, basert på brukere, er sårbare for forlengelse gjenbruk sårbarheter som tillater skadelige utvidelser for å utnytte disse sikkerhetsproblemene.
Add-ons er en av kjennetegnene til Firefox nettleser. De mest populære Firefox add-ons brukes av millioner av brukere, og siden utvidelsen system i stedet begrenser ikke legge-på-utviklere så mye som på andre plattformer, noen legger mirakuløse ting til nettleser som ikke er mulig andre steder.
Forskerne har analysert sikkerhetsrisiko forbundet med en “alt går” add-on system og spesielt add-ons til å utnytte det, knapt noen forskning som gikk inn i å analysere interaksjoner mellom flere utvidelser som er installert i Firefox nettleseren på samme tid på grunn av mangel på extension isolasjon.
I forskning papir CrossFire: En Analyse av Firefox Extension Re-Bruke Sårbarheter, forskere, viser en ny klasse av Firefox extension angrep som utnytter det de kaller extension-gjenbruk sårbarheter.
I lekmann vilkår, det er om en utvidelse ved hjelp av funksjonaliteten som tilbys av andre til å starte angrep.
Sårbarhet er avhengig av Firefox er gjeldende extension system, og det spesielt på det faktum at Firefox utvidelser kan dele den samme JavaScript-navnerommet. Mens Mozilla foreslått i fortiden som utvidelser bruk unike navnerom, sikkerhetsimplikasjonene har ikke blitt utforsket, for det meste.
I utgangspunktet, hva dette betyr er at en utvidelse vil kunne “lese fra og skrive til globale variabler som er definert av andre, i ringer eller overstyre alle globale funksjoner, og endre startet objekter”.
Figuren viser hvordan den skadelige extension M utnytter mulighetene i to legitime utvidelser å laste ned og kjøre koden.
Mens skadelig utvidelser kan utføre disse operasjonene så vel direkte, kjernen forskjellen ligger i det faktum at disse ondsinnede utvidelser ikke vil passere Mozilla ‘ s review prosess som nødvendigvis betyr at de ikke vil bli gjort tilgjengelig på den offisielle Mozilla Add-ons store.
Forskerne oppmerksom på at ekstra add-ons utnytte extension-gjenbruk sårbarheter er vanskeligere å oppdage, siden de ikke gjøre direkte anrop til et Api som gjør det mulig for angrepet, og at det vil ta betydelig innsats av anmeldere til å oppdage ondsinnede hensikter.
For å demonstrere dette, Firefox add-on ble utviklet og levert til Firefox add-on depotet som ble designet for å validere HTML-sider. En cross-extension ringe for å utnytte mulighetene til den populære NoScript-tillegget ble lagt til add-on som er koblet til en URL måte samt å utnytte en global NoScript variabel.
De innsendte extension bestått automatisert og menneskelige prosessen uten sikkerhet advarsler.
I henhold til forskning, ni av ti av de mest populære Firefox utvidelser som er sårbare for dette angrepet form, inkludert NoScript, Firebug, FlashGot og Web of Trust. Videre analyse av en prøve på 351 utvidelser ut av toppen 2000 avdekket at mer enn 72% var utsatt for extension-gjenbruk angrep.
Begrensninger
For extension-gjenbruk angrep for å jobbe, Firefox-brukere må installere både skadelig extension og minst en annen filtype som skadelig extension utnytter.
Forskerne vist at skadelig utvidelser kan passere Mozilla er automatisert og full gjennomgang validering i dag som øker sjansen for at Firefox-brukere å laste ned og installere dem på deres systemer.
Men et nytt verktøy kalt CrossFire ble opprettet som automatiserer prosessen med å finne extension-gjenbruk sårbarheter i add-ons som skal redusere sannsynligheten for at det skjer.
En kommentar av Firefox ‘ s vice president på Ars Technica fremhever at Mozilla planer om å innføre Firefox add-on sandboxing at organisasjonen planlegger å innføre som en del av sin multi-prosess arkitektur gjennomføring.