Zranitelností Firefoxu jsou doplňky KE STAŽENÍ ZDARMANa milovníky Firefoxu cílí nový typ útoku využívající tzv. extension-reuse vulnerabilities. Útočníci mohou zneužít devět z deseti nejpopulárnějších rozšíření a k tomu ještě milióny dalších. Jediné, co jim k tomu stačí, je podstrčit uživateli zdánlivě neškodný doplněk, který spustí útok prostřednictvím funkcí doplňků ostatních. Jak to celé funguje?
NoScript, Firebug, Greasemonkey i Web of Trust - a mnoho dalších doplňků Firefoxu - mohou být zneužity k útoku prostřednictvím zranitelnosti zvané extension-reuse vulnerability. „Tato chyba v zabezpečení umožňuje zdánlivě neškodným doplňkům zneužít bezpečnostně-kritické funkce jiných doplňků k maskovaným útokům,“ podávají vysvětlení bezpečnostní experti Ahmet Salih Buyukkayhan, Kaan Onarlioglu, William Robertson a Engin Kirda z Northeastern University v Bostonu. Skutečně škodlivý doplněk iniciuje útok nikoliv sám, ale prostřednictvím funkcí, které jsou určeny k legitimnímu fungování ověřených doplňků. Chyba zabezpečení je výsledkem nedostatečné vzájemné izolace doplňků v architektuře Firefoxu. „Architektura prohlížeče umožňuje všem javascriptovým doplňkům instalovaným v systému sdílet jeden prostor názvů, v důsledku čehož může jeden doplněk vyvolávat funkce či modifikovat stav jiného doplňku,“ specifikují problém výzkumníci v práci CrossFire: An Analysis of Firefox Extension-Reuse Vulnerabilities. Škodlivý doplněk M zneužívá funkcí dvou neškodných, schválených doplňků X a Y k přímému přístupu na síť a do systému. Takto může M potají stáhnout škodlivý kód a spustit ho v systému.
Při analýze deseti nejpopulárnějších doplňků experti neobjevili žádnou zneužitelnou zranitelnost pouze v Adblock Plus. Všechny ostatní doplňky umožňují celou šíři útoků:
Komplikací možných útoků je i to, že jsou těžko odhalitelné, což konstatuje i zmíněná práce: „Škodlivé rozšíření, které využívá zranitelnosti extension-reuse vulnerability lze jen obtížně detekovat současnými statickými i dynamickými metodami analýzy i procedurami schvalování doplňků.“ Nejúčinnějším způsobem boje je identifikace potenciálně nebezpečným doplňků při procesu jejich schvalování. Proto výzkumníci vyvinuli aplikaci CrossFire, která by měla automatizovat detekci mezidoplňkových zranitelností. Dalším způsobem obrany je využívání novějších rozšíření programovaných vývojářskými nástroji JetPack projektu. Ty na jednu stranu poskytují dostatečnou izolaci zabraňující mezidoplňkovým voláním - v praxi ovšem na stranu druhou obsahují spoustu starého kódu, který je zranitelný. Zdroj: ArsTechnica.com, BUYUKKAYHAN, A. S.; ONARLIOGLU K.; ROBERTSON, W.; KIRDA, E. CrossFire: An Analysis of Firefox Extension-Reuse Vulnerabilities
Daniel Beránek, 06.04.2016 12:25 Tento program naleznete ke stažení v našem katalogu www.instaluj.cz Ve světě, kde je každý pixel důležitý, přichází Microsoft s vylepšením, které má za cíl sjednotit vizuální zážitek uživatelů Windows. Přesun od tradiční technologie DirectWrite k efektivnějšímu využití ClearType Text... Pi, médii příliš nepovšimnutá AI asistentka běžící na velkém jazykovém modelu, vyniká emoční empatií a schopností přirozené konverzace. Díky březnové aktualizaci LLM Inflection 2.5, Pi nyní překračuje hranice mezi... Jestli se slovem revoluce běžně plýtvá, tak v souvislosti s AI se používá už pro každou blbost. Při takové inflaci významu se není co divit, když skutečnosti, které se opravdu blíží významu slova, proplují mediálním prostorem zcela... Claude 3 od Anthropic představuje novou éru v oblasti umělé inteligence, kde rychlost, přesnost a etické principy jdou ruku v ruce. Díky pokročilým vizuálním schopnostem, téměř okamžitým výsledkům a schopnosti poskytovat kontextově citlivé odpovědi se Claude 3 je... |