FireFox: la vulnerabilidad se puede compartir entre las extensiones

Las extensiones para Firefox no están aisladas: un complemento escrito específicamente podría aprovechar las vulnerabilidades de otras extensiones para realizar ataques con alta probabilidad de éxito.

NoScript, Firebug y otras extensiones populares de Firefox pueden capacitar a los usuarios finales en riesgo de un nuevo tipo de ataque que permite la ejecución de código malicioso y el robo sigiloso de datos confidenciales. Los investigadores Ahmet Buyukkayhan y William Robertson Safety presentaron el problema en el Black Hat Asia, celebrado del 20 de marzo al 1 de abril en Singapur.

Es una conexión que es posible gracias al hecho de que Firefox, a diferencia de otros navegadores, no dibuja ninguna medida de aislamiento entre las diferentes extensiones que instalas. Esta reutilización de » vulnerabilidad » permite que un complemento malicioso oculte su comportamiento basándose en la funcionalidad de otras extensiones. En cambio, por ejemplo, para hacer que el sistema visite un sitio web fraudulento o para descargar archivos maliciosos, el complemento aprovecha las vulnerabilidades en extensiones de terceros que pueden permitir la ejecución de sus recursos compartidos.

Esta vulnerabilidad permite que una extensión sea aparentemente inofensiva para reutilizar características de seguridad peligrosas presentes en otras extensiones legítimas, con el fin de lanzar ataques de forma sigilosa y confusa. Las extensiones dañinas que hacen uso de esta técnica serían mucho más difíciles de detectar a través de los métodos de análisis actuales ”explican los autores de la investigación, detallados en este documento .

Entre las 10 extensiones más populares aprobadas oficialmente por Mozilla y disponibles en el sitio web oficial, solo AdBlock Plus no tiene ningún defecto que pueda ser explotado por un complemento que se basa en la reutilización de vulnerabilidades técnicas. Además de los mencionados NoScript y Firebug, también Video DownloadHelper , Greasemonkey y FlashGot Mass Down mostraron una vulnerabilidad fácilmente reutilizable de una posible extensión hecha especialmente para este propósito, que puede llevar a la eliminación de las cookies del navegador y al acceso a la verificación del sistema de archivos. o abrir páginas web elegidas por un atacante.

”Observamos que si bien es posible combinar la vulnerabilidad de varias extensiones para procesar ataques complejos, a menudo se emplea una sola vulnerabilidad para lanzar ataques peligrosos con una alta probabilidad de éxito, lo que hace que este tipo de amenaza sea bastante grave incluso en presencia de un pequeño número de extensiones ”observaron los investigadores.

Los investigadores han desarrollado una extensión para FireFox muy simple, con el fin de lograr una prueba de concepto. La extensión, por el nombre ValidateThisWebsite , tiene como objetivo analizar el código HTML de un sitio web para determinar si cumple con los estándares actuales. Detrás de escena, esta extensión realiza una extensión cruzada llamada NoScript que debido a la apertura en FireFox de una dirección web elegida por los investigadores. Como se señaló, es el resultado de la falta de aislamiento entre las extensiones de FireFox.

Mozilla ha reconocido el problema y ha dicho que está trabajando en una reescritura completa de la forma en que administra y usa las extensiones de FireFox, para usar medidas de espacio aislado que eviten compartir código. Especialmente Nick Nguyen , vicepresidente de Producto FireFox Mozilla, comentó:

”La forma en que se implementan los complementos en Firefox hoy en día permite la escena hipotética y se presenta en Black Hat Asia. El método descrito se basa en un complemento popular que es vulnerable para ser instalado y luego para el complemento. Eso aprovecha esa vulnerabilidad. También para ser instalado. Debido a que existen riesgos como este, estamos evolucionando tanto nuestro producto principal como las extensiones de nuestra plataforma para construir una mayor seguridad. El nuevo conjunto de API de extensión del navegador que componen WebExtensions, que están disponibles en Firefox hoy, las moras son intrínsecamente seguras que los complementos tradicionales y no son vulnerables al ataque particularmente descrito en la presentación en Black Hat Asia. Como parte de nuestra iniciativa de electrólisis, nuestro proyecto para introducir la arquitectura multiproceso en Firefox a finales de este año, comenzaremos a proteger las extensiones de Firefox, Sé que no pueden compartir código. «

Los investigadores sugieren que, en espera de la disponibilidad pública de las nuevas arquitecturas para extensiones, la modificación del proceso de revisión del complemento para que pueda identificar con mayor precisión las posibles extensiones dañinas y la vulnerabilidad cruzada.

¡Si te ha gustado vota con 5 Estrellas!
(Votos: 0 Promedio: 0)

Escribe Aquí Tu Comentario