Noen Firefox-utvidelser kan utnyttes til å installere skadelig programvare

Roberto Suggi Liverani og Nick Freeman, sikkerhetskonsulenter med security-assessment.com har oppdaget at dårlig skrevne Firefox-utvidelser kan utnyttes til å installere skadelig programvare på datamaskinens offer. Det ser ut til at Mozilla ikke har noen sikkerhetskrav for utvidelser. Det er et problem, ettersom flaggskipets nettleser Firefox implisitt stoler på utvidelsesprogramvare.

Jeg lærte først om problemet da jeg leste de to forskernes Presentasjon 17-presentasjon, "Abusing Firefox Extensions" (pdf). Muligheten for sårbarheter i utvidelser bekymret meg, nettopp når jeg er ferdig med artikkelen, "10 Firefox-utvidelser som forbedrer sikkerheten". Jeg ønsket absolutt ikke å fremme utvidelser som er sårbare.

Så vidt jeg vet, er utvidelsene i artikkelen ikke feil. Fordi jeg er i ferd med å skrive en artikkel med ti sikkerhetsutvidelser til, vil jeg sjekke med Mr. Suggi Liverani og Mr. Freeman for å forsikre meg om at alle utvidelsene jeg viser er utenfor angrer.

Forvirring om tillegg

Mozilla og utvidelsesutviklere har en tendens til å forveksle vilkår ved generisk å kalle utvidelser, tillegg. De er tilleggsprogrammer, men det er viktig å vite at plugins er tilleggsprogrammer. Den viktigste forskjellen er at plugins er automatisk installert. Denne artikkelen handler om utvidelser, men du kan lære om plugin-moduler og problemene deres i "Firefox-plugin-moduler: Hva er de?"

Hva er utvidelser

Utviklere hos Mozilla jobber hardt for å holde kode for Firefox nettleser til et minimum. Det er bra. Det reduserer kompleksiteten, bugs, og lar Firefox laste raskt. Baksiden av et minimalt fottrykk gjør at brukerne ønsker ytterligere funksjoner for å gjøre surfing enklere og morsommere. Angi utvidelser - de gir Firefox økt utvidbarhet eller muligheten for brukere å legge til funksjoner som de velger.

Hva Mr. Suggi Liverani og Mr. Freeman fant

Forskerens presentasjon var eksemplarisk, og forklarte i detalj hvordan svake utvidelser utnyttes. Presentasjonen ga også flere eksempler på tvilsomme utvidelser og hvordan de utnyttes. To av de bedre kjente utvidelsene som ble undersøkt, var CoolPreviews og FireFTP.

Etter å ha lest presentasjonen, ble jeg forvirret over noen få ting. Når sjansen var fri, sendte jeg begge herrene en e-postmelding som inneholder en liste med spørsmål. De var vennlige nok til å svare på spørsmålene, og jeg vil gi den informasjonen videre:

Spørsmål 1 : Hvordan oppdaget du sårbarheter i Firefox-utvidelser?

Vi undersøkte et stort nettapplikasjon som inkluderte en skreddersydd Firefox-utvidelse. Det var første gang, og vi innså plutselig at vi måtte inkludere utvidelsen i testomfanget. Vi spilte også med andre utvidelser (Skype og InfoRSS), og vi følte at det kunne være feil i disse utvidelsene også.

Spørsmål 2 : Kan du forklare hvordan utnyttelsen fungerer?

Det er mange måter en sårbar Firefox-utvidelse kan utnyttes. Dette avhenger virkelig av arten av sårbarheten. Et input-basert sårbarhet som Cross Site Scripting har betydelige konsekvenser i utvidelser, spesielt når ondsinnet kode kan kjøres fra chrome: // zone.

Spørsmål 3 : Du nevner at Chrome spiller en stor rolle i denne utnyttelsen. Hva er Chrome og hvilken rolle spiller den?

I presentasjonene våre refererer vi til Chrome som chrome: // -sone der utvidelsens kode kjører (Chrome-privilegier er klarert av Firefox). Chrome-privilegier lar utvidelser i utgangspunktet gjøre hva som helst med OS ved å spørre / samhandle med Firefox kjernefunksjonalitet levert av XPCOM-biblioteker / -grensesnitt.

Spørsmål 4 : Kan du forklare kommentaren: "Alle innspill som er gitt i Chrome er et XSS-injeksjonspunkt"?

Det vi mener er at hvis du har et injeksjonspunkt i krom: // -sonen, så er det spill over. Injeksjonen kan inkludere vilkårlig nettleserbasert innhold som har krom-rettigheter. Dette tillater utnyttelse av Firefox-utvidelser som vist i følgende lysbilde.

Spørsmål 5 : Presentasjonen din nevner at NoScript blir gjort ubrukelig av denne utnyttelsen, kan du forklare hvordan?

NoScript er en sikkerhetsutvidelse og beskytter brukeren når han surfer på ikke-tillitelig innhold (f.eks. Internett). Misforståelsen er at NoScript kan beskytte deg mot sårbare utvidelser. Chrome: // URI-skjemaet er hvitelistet i NoScript, ettersom de fleste utvidelseskoder må kjøres med chrome-rettigheter for å gi funksjonalitet. For eksempel trenger en utvidelse som viser innholdet i C: \ -mappen din Chrome-privilegier for å samhandle med filsystemet. NoScript kan ikke blokkere chrome: // da det vil ødelegge Firefox og utvidelsesfunksjonalitet.

Spørsmål 6 : Du oppgir at å kjøre Firefox i sikkermodus er den eneste sikkerhetsbrannen-kur på dette tidspunktet. Hvorfor kan ikke utvidelser bare fjernes?

Utvidelser kan fjernes. Denne linjen er mer en sikkerhetspolitikk i et bedrifts- / bedriftsmiljø der Firefox brukes. En administrator bør sette Firefox i sikkermodus slik at brukere ikke kan installere utvidelser. Dette må veies per sak, da bruk av sikkermodus betyr at du ikke kan kjøre NoScript, slik at normal surfing blir mindre sikker.

anbefalinger

Suggi Liverani og Mr. Freeman har kommet med følgende anbefalinger for utviklere, sikkerhetsfolk og sluttbrukere:

Utviklere
  • Følg utviklerhåndboken for Open Web Application Security Project (OWASP).
  • Les kode for lignende utvidelser for ideer om hvordan du kan unngå dette problemet.
Sikkerhetsfagfolk
  • Følg OWASP-testguiden.
  • Se publikasjoner for nye ideer om nettopp utgitte utvidelser.
Sluttbrukere
  • Ikke stol på utvidelser.
  • Sjekk Bugzilla for ny informasjon om utvidelsessikkerhetsproblemer.
  • Forsikre deg om at utvidelser er oppdaterte.
  • Vurder sikkermodus, ettersom den deaktiverer alle utvidelser.
Siste tanker

At Firefox-utvidelser er sårbare, var ikke på radaren min. Ikke før jeg leste om arbeidet som ble utført av Mr. Suggi Liverani og Mr. Freeman. Forskerne er i kontakt med Mozilla, og Mozilla har erkjent dette problemet. Hvis Mozillas tidligere ytelse er noen indikasjon, bør det være en slags løsning innen kort tid.

Jeg vil takke Roberto Suggi Liverani og Nick Freeman for deres innsats og vilje til å forklare vanskeligheter med sårbarheter i forlengelsen.

© Copyright 2020 | mobilegn.com