[ Zavřít ] 


 

RSS Kanál

 

Zranitelností Firefoxu jsou doplňky KE STAŽENÍ ZDARMA

Na milovníky Firefoxu cílí nový typ útoku využívající tzv. extension-reuse vulnerabilities. Útočníci mohou zneužít devět z deseti nejpopulárnějších rozšíření a k tomu ještě milióny dalších. Jediné, co jim k tomu stačí, je podstrčit uživateli zdánlivě neškodný doplněk, který spustí útok prostřednictvím funkcí doplňků ostatních. Jak to celé funguje?

 

Deset nejpopulárnějších doplňků Firefoxu a typy útoků, ke kterým mohou být zneužity

NoScript, Firebug, Greasemonkey i Web of Trust - a mnoho dalších doplňků Firefoxu - mohou být zneužity k útoku prostřednictvím zranitelnosti zvané extension-reuse vulnerability. „Tato chyba v zabezpečení umožňuje zdánlivě neškodným doplňkům zneužít bezpečnostně-kritické funkce jiných doplňků k maskovaným útokům,“ podávají vysvětlení bezpečnostní experti Ahmet Salih Buyukkayhan, Kaan Onarlioglu, William Robertson a Engin Kirda z Northeastern University v Bostonu. Skutečně škodlivý doplněk iniciuje útok nikoliv sám, ale prostřednictvím funkcí, které jsou určeny k legitimnímu fungování ověřených doplňků.

Chyba zabezpečení je výsledkem nedostatečné vzájemné izolace doplňků v architektuře Firefoxu. „Architektura prohlížeče umožňuje všem javascriptovým doplňkům instalovaným v systému sdílet jeden prostor názvů, v důsledku čehož může jeden doplněk vyvolávat funkce či modifikovat stav jiného doplňku,“ specifikují problém výzkumníci v práci CrossFire: An Analysis of Firefox Extension-Reuse Vulnerabilities. 

Praktický příklad útoku vedeného přes extension-reuse vulnerability

Škodlivý doplněk M zneužívá funkcí dvou neškodných, schválených doplňků X a Y k přímému přístupu na síť a do systému. Takto může M potají stáhnout škodlivý kód a spustit ho v systému.
 

Při analýze deseti nejpopulárnějších doplňků experti neobjevili žádnou zneužitelnou zranitelnost pouze v Adblock Plus. Všechny ostatní doplňky umožňují celou šíři útoků:

  • spuštění škodlivého kódu; 
  • krádež cookies; 
  • útok na přístup a správu souborového systému;
  • otevření útočných stránek v internetu ad.

Komplikací možných útoků je i to, že jsou těžko odhalitelné, což konstatuje i zmíněná práce: „Škodlivé rozšíření, které využívá zranitelnosti extension-reuse vulnerability lze jen obtížně detekovat současnými statickými i dynamickými metodami analýzy i procedurami schvalování doplňků.“ Nejúčinnějším způsobem boje je identifikace potenciálně nebezpečným doplňků při procesu jejich schvalování. Proto výzkumníci vyvinuli aplikaci CrossFire, která by měla automatizovat detekci mezidoplňkových zranitelností. 

Dalším způsobem obrany je využívání novějších rozšíření programovaných vývojářskými nástroji JetPack projektu. Ty na jednu stranu poskytují dostatečnou izolaci zabraňující mezidoplňkovým voláním - v praxi ovšem na stranu druhou obsahují spoustu starého kódu, který je zranitelný.

Zdroj: ArsTechnica.com, BUYUKKAYHAN, A. S.; ONARLIOGLU K.; ROBERTSON, W.; KIRDA, E. CrossFire: An Analysis of Firefox Extension-Reuse Vulnerabilities

 

 

Tento program naleznete ke stažení v našem katalogu www.instaluj.cz

 

 

 

 

 

Microsoft odhalil, jak obejít kontrolu TPM 2.0

Microsoft opět zpestřuje příchod nového operačního systému Windows 11. Po obecně rozšířené nevůli vůči požadavku šifrovacího procesoru TPM ve verzi 2.0, se rozpoutala kritika Microsoftu. Navíc následovaly neoficiální postupy, jak obejít...

Antiviry velkých jmen jsou připraveny na Windows 11

Povyšování Windows se opakovaně potýká s rozličnými problémy. I při minoritních změnách se aktualizace dostávají do problémů s kompatibilitou - a ty se často týkají programů, jejichž dlouhé prsty sahají až do jádra...

Chrome 94: nové centrum sdílení a kontroverzní Idle Detection API

Google Chrome se už po necelých čtyřech týdnech hlásí s novou verzí číslo 94. Je to tak, protože prohlížeč přešel z šestitýdenního vývojového cyklu na cyklus čtyřtýdenní. A to především v rámci...

Microsoft bude varovat před instalací Windows 11 na nepodporovaném hardwaru

Microsoft se neustále zamotává ve svých prohlášeních ohledně Windows 11, ne úplně podporovaného hardwaru, možnosti instalace nového systému a možnostech příjmu následujících aktualizací a podpory vůbec. Nově nechává...


 
© 2005-2021 PS Media s.r.o. - digital world
 

reklama