FireFox, problema di vulnerabilità condivisibili tra le estensioni

FireFox, problema di vulnerabilità condivisibili tra le estensioni

Le estensioni in FireFox non sono isolate: un add-on appositamente scritto potrebbe sfruttare le eventuali vulnerabilità di altre estensioni per condurre attacchi con alta probabilità di successo

di Andrea Bai pubblicata il , alle 17:01 nel canale Sicurezza
FirefoxMozilla
 

NoScript, Firebug ed altre famose estensioni di Firefox possono mettere gli utenti finali a rischio di un nuovo tipo di attacco che consente l'esecuzione di codice dannoso e la sottrazione furtiva di dati sensibili. I ricercatori di sicurezza Ahmet Buyukkayhan e William Robertson hanno presentato il problema in occasione del Black Hat Asia, svoltosi dal 20 marzo all'1 aprile scorsi a Singapore.

Si tratta di un attacco reso possibile dal fatto che Firefox, a differenza di altri browser, non opera alcuna misura di isolamento tra le varie estensioni installate dall'utente. Questo "riuso di vulnerabilità" permette ad un add-on dannoso di occultare il suo comportamento appoggiandosi alle funzionalità di altre estensioni. Invece, per esempio, di portare il sistema a visitare un sito web fraudolento o a scaricare file dannosi, l'add-on va a sfruttare le vulnerabilità di estensioni di terze parti che possono consentire l'esecuzione delle medesime azioni.

"Questa vulnerabilità permettono ad un'estensione apparentemente innocua di riutilizzare funzionalità pericolose per la sicurezza presenti in altre estensioni legittime, allo scopo di lanciare in maniera furtiva attacchi confusi. Estensioni dannose che fanno uso di questa tecnica sarebbero molto più difficili da individuare tramite le attuali metodologie di analisi" spiegano gli autori della ricerca, dettagliata in questo documento.

Tra le 10 estensioni più popolari approvate ufficialmente da Mozilla e rese disponibili sul sito ufficiale, solamente AdBlock Plus non presenta alcuna falla che possa essere sfruttata da un add-on che si basa sulla tecnica del riuso delle vulnerabilità. Oltre alle già citate NoScript e Firebug, anche Video DownloadHelper, Greasemonkey e FlashGot Mass Down hanno mostrato vulnerabilità facilmente riutilizzabili da una eventuale estensione realizzata appositamente per questo scopo, che possono portare alla sottrazione dei cookie del browser, all'accesso e al controllo del filesystem o all'apertura di pagine web scelte da un attaccante.

"Abbiamo osservato che mentre è possibile combinare vulnerabilità di varie estensioni per elaborare attacchi complessi, spesso basta impiegare una singola vulnerabilità per lanciare attacchi pericolosi con un'alta probabilità di successo, rendendo questo tipo di minaccia piuttosto grave anche in presenza di un piccolo numero di estensioni" osservano ricercatori.

I ricercatori hanno sviluppato un'estensione per FireFox molto semplice, allo scopo di realizzare un proof-of-concept. L'estensione, dal nome ValidateThisWebsite, ha lo scopo di analizzare il codice HTML di un sito web per determinare se risponde agli attuali standard. Dietro le quinte, però, questa estensione compie una chiamata cross-extension a NoScript che causa l'apertura in FireFox di un indirizzo web scelto dai ricercatori. Quanto osservato è frutto proprio della mancanza di isolamento tra le estensioni di FireFox.

Mozilla ha riconosciuto il problema e ha fatto sapere di essere al lavoro su una riscrittura completa del modo in cui FireFox gestisce e usa le estensioni, in maniera tale da usare misure di sandboxing che evitino la condivisione di codice. In particolare Nick Nguyen, vicepresident FireFox Product per Mozilla, ha commentato: "The way add-ons are implemented in Firefox today allows for the scenario hypothesized and presented at Black Hat Asia. The method described relies on a popular add-on that is vulnerable to be installed, and then for the add-on that takes advantage of that vulnerability to also be installed. Because risks such as this one exist, we are evolving both our core product and our extensions platform to build in greater security. The new set of browser extension APIs that make up WebExtensions, which are available in Firefox today, are inherently more secure than traditional add-ons, and are not vulnerable to the particular attack outlined in the presentation at Black Hat Asia. As part of our electrolysis initiative - our project to introduce multi-process architecture to Firefox later this year - we will start to sandbox Firefox extensions so that they cannot share code."

I ricercatori suggeriscono che, in attesa della pubblica disponibilità delle nuove architetture per le estensioni, venga modificato il processo di revisione degli add-on così da poter identificare con maggior accuratezza le eventuali estensioni dannose e le vulnerabilità incrociate.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

12 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
s0nnyd3marco06 Aprile 2016, 17:10 #1
Speriamo mozilla si dia un mossa con e10 e le webextensions...
Rubberick06 Aprile 2016, 17:41 #2
Non è chiaro però se per essere attaccato mi devo scaricare un'estenzione dannosa o meno e come i vari Noscript e affini possano avere quadro in tutto ciò..
AleLinuxBSD06 Aprile 2016, 17:44 #3
Speriamo che intervengano in fretta per risolvere la situazione.
LMCH06 Aprile 2016, 17:44 #4
Quindi la "vulnerabilità" funziona se ... si installa un add-on malevole.

Basta limitarsi ad usare gli add-on più noti (e tenuto sotto controllo da chi si occupa di sicurezza proprio per rischi simili) ed a quel punto il problema non esiste.
ziobepi06 Aprile 2016, 17:54 #5
Disinstallo in attesa che risolvano...
s0nnyd3marco06 Aprile 2016, 18:07 #6
Originariamente inviato da: ziobepi
Disinstallo in attesa che risolvano...


Se usi solo estensioni note/sicure non corri rischi.
Se hai 1000 estensioni da fonti ignote cancella anche il profilo e passa l'antivirus.
ziobepi06 Aprile 2016, 18:20 #7
Ho zero estensioni... ma trovo troppo seri questi problemi
Sorgiva06 Aprile 2016, 18:34 #8

Problemi noti

Falle a parte, vorrei che Firefox non si bloccasse interamente con la coda tra le gambe ogni volta che uno script blocca "una sola scheda" con nessuna possibilità di uscita se non killare tristemente.
s0nnyd3marco06 Aprile 2016, 18:46 #9
Originariamente inviato da: Sorgiva
Falle a parte, vorrei che Firefox non si bloccasse interamente con la coda tra le gambe ogni volta che uno script blocca "una sola scheda" con nessuna possibilità di uscita se non killare tristemente.


Quello te lo scordi finche' non arriva e10. Prova con la developer edition che lo ha abilitato di default.
calabar06 Aprile 2016, 19:26 #10
Mi sa che qui oramai bisogna solo aspettare che si decidano a rilasciare e10s.
Il mio timore è che per allora abbiano già messo in atto alcune delle "minacce" che sono già state annunciate, per cui dovrò scegliere se avere l'uno o l'altro (io spero in una ESR con e10s ma senza la rimozione di XUL e altre cosette).

Sicuramente electrolysis mi farà fuori un po' di estensioni, spero di trovare rimpiazzi adeguati.

C'è da dire che con le estensioni firmate il problema si riduce di parecchio per l'utente comune, ma comunque sempre meglio stare all'erta.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^