Ondsindede Firefox-udvidelser kan snylte på NoScript og Greasemonkey

6. april 2016 kl. 10:431
Ondsindede Firefox-udvidelser kan snylte på NoScript og Greasemonkey
Illustration: Mozilla.
Udvidelser til Firefox er ikke adskilt, og det gør det muligt for ondsindede udvidelser at udnytte en stribe af de mest populære udvidelser til at afvikle kode.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

En ondsindet udvidelse til Firefox-browseren behøver ikke selv indeholde de funktioner, der gør den i stand til at gøre skade. I stedet kan den låne funktionerne fra en række af de mest populære udvidelser som eksempelvis Noscript. Det skriver Ars Technica.

På den måde vil en scanning af koden i den ondsindede udvidelse ikke automatisk afsløre, at den er i stand til få adgang til filer eller afvikle kode på brugerens pc. Den vil i stedet kunne bruge funktioner i andre Firefox-udvidelser.

En gruppe sikkerhedseksperter har undersøgt problemet i de ti mest populære Firefox-udvidelser og fundet svagheder i 9 ud af 10. Ud over Noscript er blandt andet Greasemonkey, Firebug og forskellige udvidelser til at downloade videoer fra Youtube sårbare over for denne type snylterudvidelser.

For at kunne udnytte sikkerhedsbristen er det nødvendigt at få brugeren til at installere den ondsindede udvidelse. Derudover skal brugeren selvsagt også have mindst én af de sårbare udvidelser installeret. Der er altså tale om et angreb, der kan være vanskeligt at gennemføre i praksis.

Artiklen fortsætter efter annoncen

Problemet udspringer af, at der er begrænset isolation mellem de forskellige udvidelser til Firefox, som skrives i Javascript. De deler samme namespace og kan altså kalde metoder og variable i andre udvidelser.

I et e-mailsvar til Ars Technica påpeger Mozilla, at de nye udvidelser baseret på de kommende WebExtensions skulle være mere sikre. Det samme gælder også til en vis grad udvidelser baseret på JetPack, som dog ofte indeholder kode fra de klassiske Firefox-udvidelser, påpeger sikkerhedseksperterne ifølge Ars Technica.

Kom gratis med til Danmarks største IT-sikkerhedsevent!

Infosecurity, Europas mest populære IT-sikkerhedsevent, afholdes for første gang i Danmark den 3. og 4. maj 2016. 50 udstillere, 5 konferencesale og mere end 60 seminarer og caseoplæg fra ind- og udland. Læs mere her.

1 kommentar.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
1
10. april 2016 kl. 10:05

Hvis man downloader og kører noget kode med fuld brugeradgang, så er det alment kendt at denne kode kan gøre noget du ikke vil have og samtidigt obfuskeres så dit antivirusprogram ikke kan genkende det.

At påstå at Noscript, Greasemonkey og Firebug er "sårbare" fordi andet kode kan obfuskeres til at ligne en af dem, giver bare ikke mening.

Læs i øvrigt Noscripts svar på historien: https://hackademix.net/2016/04/08/crossfud-an-analysis-of-inflated-research-and-sloppy-reporting/