Einige Firefox-Erweiterungen werden möglicherweise zur Installation von Malware ausgenutzt

Roberto Suggi Liverani und Nick Freeman, Sicherheitsberater von security-assessment.com, haben herausgefunden, dass schlecht geschriebene Firefox-Erweiterungen ausgenutzt werden können, um Malware auf dem Computer eines Opfers zu installieren. Es scheint, dass Mozilla keine Sicherheitsanforderungen für Erweiterungen hat. Dies ist ein Problem, da der Flaggschiff-Webbrowser Firefox implizit auf Erweiterungssoftware vertraut.

Ich habe das Problem zum ersten Mal kennengelernt, als ich die Defcon 17-Präsentation der beiden Forscher "Missbrauch von Firefox-Erweiterungen" (pdf) gelesen habe. Die Möglichkeit von Sicherheitslücken in Erweiterungen hat mich beunruhigt, nachdem ich gerade den Artikel "10 Firefox-Erweiterungen, die die Sicherheit verbessern" fertiggestellt habe. Ich wollte sicherlich keine Erweiterungen fördern, die anfällig sind.

Nach meinem besten Wissen sind die Erweiterungen in meinem Artikel nicht fehlerhaft. Da ich gerade einen Artikel mit 10 weiteren Sicherheitserweiterungen schreibe, werde ich mich bei Herrn Suggi Liverani und Herrn Freeman erkundigen, um sicherzustellen, dass alle Erweiterungen, auf die ich verweise, keinen Vorwurf machen.

Verwirrung über Add-Ons

Mozilla- und Erweiterungsentwickler neigen dazu, Begriffe zu verwirren, indem sie generisch Erweiterungen und Add-Ons aufrufen. Sie sind Add-Ons, aber es ist wichtig zu wissen, dass Plug-Ins auch Add-Ons sind. Der Hauptunterschied besteht darin, dass Plug-Ins automatisch installiert werden. In diesem Artikel geht es um Erweiterungen. Weitere Informationen zu Plug-Ins und ihren Problemen finden Sie unter "Firefox-Plug-Ins: Was sind sie?".

Was sind Erweiterungen?

Die Entwickler von Mozilla arbeiten hart daran, den Code für den Firefox-Webbrowser auf ein Minimum zu beschränken. Das ist eine gute Sache. Es reduziert Komplexität, Fehler und ermöglicht das schnelle Laden von Firefox. Die Kehrseite eines minimalen Platzbedarfs lässt Benutzer zusätzliche Funktionen wünschen, um das Surfen einfacher und angenehmer zu machen. Erweiterungen eingeben - Sie bieten Firefox eine erweiterte Erweiterbarkeit oder die Möglichkeit für Benutzer, Funktionen ihrer Wahl hinzuzufügen.

Was Mr. Suggi Liverani und Mr. Freeman gefunden haben

Die Präsentation des Forschers war beispielhaft und erklärte ausführlich, wie schwache Erweiterungen ausgenutzt werden. Die Präsentation gab auch einige Beispiele für fragwürdige Erweiterungen und wie sie genutzt werden. Zwei der bekannteren untersuchten Erweiterungen waren CoolPreviews und FireFTP.

Nachdem ich die Präsentation gelesen hatte, war ich über einige Dinge verwirrt. Bei der Gelegenheit schickte ich beiden Herren eine E-Mail mit einer Liste von Fragen. Sie waren so freundlich, die Fragen zu beantworten, und ich möchte diese Informationen weitergeben:

Frage 1 : Wie haben Sie Schwachstellen in Firefox-Erweiterungen entdeckt?

Wir haben eine große Webanwendung geprüft, die eine maßgeschneiderte Firefox-Erweiterung enthielt. Dies war das erste Mal und wir stellten plötzlich fest, dass wir die Erweiterung in den Testumfang aufnehmen mussten. Außerdem haben wir mit anderen Erweiterungen (Skype und InfoRSS) gespielt und wir hatten das Gefühl, dass diese Erweiterungen ebenfalls Fehler enthalten könnten.

Frage 2 : Können Sie bitte erklären, wie der Exploit funktioniert?

Es gibt viele Möglichkeiten, wie eine anfällige Firefox-Erweiterung ausgenutzt werden kann. Dies hängt wirklich von der Art der Sicherheitsanfälligkeit ab. Eine eingabebasierte Sicherheitsanfälligkeit wie Cross Site Scripting hat erhebliche Konsequenzen für Erweiterungen, insbesondere wenn schädlicher Code aus der chrome: // -Zone ausgeführt werden kann.

Frage 3 : Sie erwähnen, dass Chrome bei diesem Exploit eine große Rolle spielt. Was ist Chrome und welche Rolle spielt es?

In unseren Präsentationen bezeichnen wir Chrome als die chrome: // Zone, in der der Code der Erweiterung ausgeführt wird (Chrome-Berechtigungen werden von Firefox als vertrauenswürdig eingestuft). Mit Chrome-Berechtigungen können Erweiterungen grundsätzlich alles mit dem Betriebssystem tun, indem sie die von XPCOM-Bibliotheken / -Schnittstellen bereitgestellten Firefox-Kernfunktionen abfragen / mit ihnen interagieren.

Frage 4 : Können Sie den Kommentar erklären: "Jede in Chrome gerenderte Eingabe ist ein XSS-Injektionspunkt"?

Was wir damit meinen ist, dass wenn Sie einen Einspritzpunkt in der chrome: // Zone haben, das Spiel vorbei ist. Die Injektion kann beliebigen browserbasierten Inhalt enthalten, der über Chrome-Berechtigungen verfügt. Dies ermöglicht die Nutzung von Firefox-Erweiterungen, wie in der folgenden Folie gezeigt.

Frage 5 : In Ihrer Präsentation wird erwähnt, dass NoScript durch diesen Exploit unbrauchbar wird. Können Sie erklären, wie?

NoScript ist eine Sicherheitserweiterung und schützt den Benutzer beim Durchsuchen nicht vertrauenswürdiger Inhalte (z. B. Internet). Das Missverständnis ist, dass NoScript Sie vor anfälligen Erweiterungen schützen kann. Das chrome: // URI-Schema wird in NoScript auf die Whitelist gesetzt, da der meiste Erweiterungscode mit Chrome-Berechtigungen ausgeführt werden muss, um Funktionen bereitzustellen. Beispielsweise benötigt eine Erweiterung, die den Inhalt Ihres C: \ -Ordners anzeigt, Chrome-Berechtigungen, um mit dem Dateisystem zu interagieren. NoScript kann chrome: // nicht blockieren, da dies die Firefox- und Erweiterungsfunktionalität beeinträchtigt.

Frage 6 : Sie geben an, dass das Ausführen von Firefox im abgesicherten Modus derzeit die einzige sichere Lösung ist. Warum können Erweiterungen nicht einfach entfernt werden?

Erweiterungen können entfernt werden. Diese Zeile ist eher eine Sicherheitsrichtlinie in einer Unternehmensumgebung, in der Firefox verwendet wird. Ein Administrator sollte Firefox in den abgesicherten Modus versetzen, damit Benutzer keine Erweiterungen installieren können. Dies muss von Fall zu Fall abgewogen werden, da die Verwendung des abgesicherten Modus bedeutet, dass Sie NoScript nicht ausführen können, sodass das normale Surfen weniger sicher ist.

Empfehlungen

Herr Suggi Liverani und Herr Freeman haben die folgenden Empfehlungen für Entwickler, Sicherheitsexperten und Endbenutzer ausgearbeitet:

Entwickler
  • Befolgen Sie das Entwicklerhandbuch für das Open Web Application Security Project (OWASP).
  • Lesen Sie den Code ähnlicher Erweiterungen, um Ideen zur Vermeidung dieses Problems zu erhalten.
Sicherheitsexperten
  • Befolgen Sie die OWASP-Testanleitung.
  • In Veröffentlichungen finden Sie neue Ideen zu gerade veröffentlichten Erweiterungen.
Endnutzer
  • Vertraue keinen Erweiterungen.
  • Überprüfen Sie Bugzilla auf neue Informationen zu Sicherheitsproblemen bei Erweiterungen.
  • Stellen Sie sicher, dass die Erweiterungen auf dem neuesten Stand sind.
  • Betrachten Sie den abgesicherten Modus, da alle Erweiterungen deaktiviert werden.
Abschließende Gedanken

Die Tatsache, dass Firefox-Erweiterungen anfällig sind, war nicht auf meinem Radar. Erst als ich über die Arbeit von Herrn Suggi Liverani und Herrn Freeman gelesen habe. Die Forscher stehen in Kontakt mit Mozilla, und Mozilla hat dieses Problem erkannt. Wenn Mozillas bisherige Leistung Anzeichen dafür sind, sollte es in Kürze eine Lösung geben.

Ich möchte Roberto Suggi Liverani und Nick Freeman für ihre Bemühungen und ihre Bereitschaft danken, die Feinheiten von Erweiterungsschwachstellen zu erklären.

© Copyright 2021 | mobilegn.com