En ondsindet udvidelse til Firefox-browseren behøver ikke selv indeholde de funktioner, der gør den i stand til at gøre skade. I stedet kan den låne funktionerne fra en række af de mest populære udvidelser som eksempelvis Noscript. Det skriver Ars Technica.
På den måde vil en scanning af koden i den ondsindede udvidelse ikke automatisk afsløre, at den er i stand til få adgang til filer eller afvikle kode på brugerens pc. Den vil i stedet kunne bruge funktioner i andre Firefox-udvidelser.
En gruppe sikkerhedseksperter har undersøgt problemet i de ti mest populære Firefox-udvidelser og fundet svagheder i 9 ud af 10. Ud over Noscript er blandt andet Greasemonkey, Firebug og forskellige udvidelser til at downloade videoer fra Youtube sårbare over for denne type snylterudvidelser.
For at kunne udnytte sikkerhedsbristen er det nødvendigt at få brugeren til at installere den ondsindede udvidelse. Derudover skal brugeren selvsagt også have mindst én af de sårbare udvidelser installeret. Der er altså tale om et angreb, der kan være vanskeligt at gennemføre i praksis.
Problemet udspringer af, at der er begrænset isolation mellem de forskellige udvidelser til Firefox, som skrives i Javascript. De deler samme namespace og kan altså kalde metoder og variable i andre udvidelser.
I et e-mailsvar til Ars Technica påpeger Mozilla, at de nye udvidelser baseret på de kommende WebExtensions skulle være mere sikre. Det samme gælder også til en vis grad udvidelser baseret på JetPack, som dog ofte indeholder kode fra de klassiske Firefox-udvidelser, påpeger sikkerhedseksperterne ifølge Ars Technica.
Kom gratis med til Danmarks største IT-sikkerhedsevent!
Infosecurity, Europas mest populære IT-sikkerhedsevent, afholdes for første gang i Danmark den 3. og 4. maj 2016. 50 udstillere, 5 konferencesale og mere end 60 seminarer og caseoplæg fra ind- og udland. Læs mere her.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
