Neun der zehn beliebtesten Firefox-add-ons, basierend auf Benutzer, sind anfällig für die Erweiterung Wiederverwendung Schwachstellen, bösartigen Erweiterungen zu nutzen, diese Lücken zu schließen.
Add-ons sind eines der Markenzeichen des Firefox web-browser. Die beliebtesten Firefox-add-ons genutzt werden, die von Millionen von Nutzern, und da die extension system nicht eingeschränkt add-on-Entwickler so viel wie auf anderen Plattformen, einige add wunderbare Dinge für den browser, nicht möglich anderswo.
Während die Forscher haben analysiert, die security-Risiken im Zusammenhang mit einer “alles geht”-add-on-system und die jeweiligen add-ons nutzt Sie, kaum Forschung ging in die Analyse von Interaktionen zwischen mehreren Erweiterungen installiert in den Firefox web-browser zur gleichen Zeit aufgrund einer fehlenden Erweiterung der isolation.
In der Forschung Papier CrossFire: Eine Analyse der Firefox-Erweiterung Re-Use-Schwachstellen, demonstrieren die Forscher eine neue Klasse von der Firefox-Erweiterung-Attacken, exploits, wie Sie es nennen-Erweiterung-die Wiederverwendung von Schwachstellen.
In juristischer Hinsicht, es ist etwa eine Erweiterung mit der Funktionalität, die durch andere Angriffe zu starten.
Die Sicherheitslücke beruht auf Firefox die aktuelle Erweiterung system, und dort vor allem auf die Tatsache, dass Firefox-Erweiterungen teilen sich die gleiche JavaScript-namespace. Während Mozilla in der Vergangenheit vorgeschlagen, dass extensions eigene namespaces, die Auswirkungen auf die Sicherheit haben, nicht erforscht worden, zum größten Teil.
Im Grunde, was es bedeutet, ist, dass eine Erweiterung könnte “lese-und Schreibzugriff auf Globale Variablen definiert, die von anderen aufrufen oder überschreiben alle globalen Funktionen und ändern von instanziierten Objekte”.
Die Abbildung zeigt, wie die bösartige Erweiterung M nutzt die Funktionen von zwei legitime Erweiterungen herunterladen und ausführen von code.
Während bösartige Erweiterungen kann diese Operationen durchführen, als auch direkt, der Kern-Unterschied liegt in der Tatsache, dass diese bösartige Erweiterungen nicht passieren Mozilla review Prozess zwangsläufig was bedeutet, dass Sie nicht auf der offiziellen Mozilla-Add-ons zu speichern.
Die Forscher beachten Sie, dass add-ons die Nutzung extension-Wiederverwendung Schwachstellen sind schwieriger zu erkennen, da Sie nicht direkte Aufrufe an die APIs, die es ermöglichen, den Angriff, und dass es dauern würde, mit erheblichem Aufwand von den GutachterInnen und Gutachtern zur Erkennung bösartiger Absicht.
Um dies zu demonstrieren, ein Firefox-add-on wurde entwickelt und vorgelegt, um das Firefox add-on repository, das entworfen wurde, zur Validierung von HTML-Seiten. Ein Kreuz-Erweiterung nennen, nutzen die Fähigkeiten des beliebten NoScript-add-on Hinzugefügt wurde, um das add-on die Verbindung zu einem URL heimlich als auch durch die Nutzung eines globalen NoScript-variable.
Die eingereichten Erweiterung übergeben, die automatisiert und menschliche review-Prozess ohne Sicherheitswarnungen.
Entsprechend der Forschung, in neun von zehn der beliebtesten Firefox-Erweiterungen sind anfällig für diese Angriffsart inklusive NoScript, Firebug, FlashGot und Web-of-Trust. Die weitere Analyse einer Probe von 351 Erweiterungen aus dem top-Jahr 2000 ergab, dass mehr als 72% waren anfällig für Erweiterung-reuse-Attacken.
Vorsichtsmaßnahmen
Für die Erweiterung-die Wiederverwendung Angriffe funktionieren, Firefox-Nutzer müssen die Installation sowohl der bösartige Erweiterung und mindestens eine weitere Erweiterung, die bösartige Erweiterung nutzt.
Die Forscher gezeigt, dass bösartige Erweiterungen kann passieren Mozilla automatisierte und vollständige überprüfung, Validierung derzeit das erhöht die chance, dass Benutzer von Firefox downloaden und installieren Sie auf Ihren Systemen.
Jedoch, ein neues tool namens CrossFire wurde erstellt, die automatisiert den Prozess der Suche nach der Erweiterung-die Wiederverwendung von Sicherheitslücken in add-ons, die sollten verringern die Wahrscheinlichkeit, dass das passiert.
Ein Kommentar von Firefox, vice president auf Ars Technica betont, dass Mozilla plant Firefox-add-on sandboxing, dass die Organisation plant als Teil Ihrer multi-Prozess-Architektur Umsetzung.