[ Zavřít ] 


 

RSS Kanál

 

Zranitelností Firefoxu jsou doplňky KE STAŽENÍ ZDARMA

Na milovníky Firefoxu cílí nový typ útoku využívající tzv. extension-reuse vulnerabilities. Útočníci mohou zneužít devět z deseti nejpopulárnějších rozšíření a k tomu ještě milióny dalších. Jediné, co jim k tomu stačí, je podstrčit uživateli zdánlivě neškodný doplněk, který spustí útok prostřednictvím funkcí doplňků ostatních. Jak to celé funguje?

 

Deset nejpopulárnějších doplňků Firefoxu a typy útoků, ke kterým mohou být zneužity

NoScript, Firebug, Greasemonkey i Web of Trust - a mnoho dalších doplňků Firefoxu - mohou být zneužity k útoku prostřednictvím zranitelnosti zvané extension-reuse vulnerability. „Tato chyba v zabezpečení umožňuje zdánlivě neškodným doplňkům zneužít bezpečnostně-kritické funkce jiných doplňků k maskovaným útokům,“ podávají vysvětlení bezpečnostní experti Ahmet Salih Buyukkayhan, Kaan Onarlioglu, William Robertson a Engin Kirda z Northeastern University v Bostonu. Skutečně škodlivý doplněk iniciuje útok nikoliv sám, ale prostřednictvím funkcí, které jsou určeny k legitimnímu fungování ověřených doplňků.

Chyba zabezpečení je výsledkem nedostatečné vzájemné izolace doplňků v architektuře Firefoxu. „Architektura prohlížeče umožňuje všem javascriptovým doplňkům instalovaným v systému sdílet jeden prostor názvů, v důsledku čehož může jeden doplněk vyvolávat funkce či modifikovat stav jiného doplňku,“ specifikují problém výzkumníci v práci CrossFire: An Analysis of Firefox Extension-Reuse Vulnerabilities. 

Praktický příklad útoku vedeného přes extension-reuse vulnerability

Škodlivý doplněk M zneužívá funkcí dvou neškodných, schválených doplňků X a Y k přímému přístupu na síť a do systému. Takto může M potají stáhnout škodlivý kód a spustit ho v systému.
 

Při analýze deseti nejpopulárnějších doplňků experti neobjevili žádnou zneužitelnou zranitelnost pouze v Adblock Plus. Všechny ostatní doplňky umožňují celou šíři útoků:

  • spuštění škodlivého kódu; 
  • krádež cookies; 
  • útok na přístup a správu souborového systému;
  • otevření útočných stránek v internetu ad.

Komplikací možných útoků je i to, že jsou těžko odhalitelné, což konstatuje i zmíněná práce: „Škodlivé rozšíření, které využívá zranitelnosti extension-reuse vulnerability lze jen obtížně detekovat současnými statickými i dynamickými metodami analýzy i procedurami schvalování doplňků.“ Nejúčinnějším způsobem boje je identifikace potenciálně nebezpečným doplňků při procesu jejich schvalování. Proto výzkumníci vyvinuli aplikaci CrossFire, která by měla automatizovat detekci mezidoplňkových zranitelností. 

Dalším způsobem obrany je využívání novějších rozšíření programovaných vývojářskými nástroji JetPack projektu. Ty na jednu stranu poskytují dostatečnou izolaci zabraňující mezidoplňkovým voláním - v praxi ovšem na stranu druhou obsahují spoustu starého kódu, který je zranitelný.

Zdroj: ArsTechnica.com, BUYUKKAYHAN, A. S.; ONARLIOGLU K.; ROBERTSON, W.; KIRDA, E. CrossFire: An Analysis of Firefox Extension-Reuse Vulnerabilities

 

 

Tento program naleznete ke stažení v našem katalogu www.instaluj.cz

 

 

 

 

 

Česká pošta se stala nástrojem phishingu

Obzvláště nebezpečný phishing koluje po českých emailech. Kyberútočníci si tentokrát coby nástroj na oblafnutí uživatele zvolili upozornění od České pošty. Za nepatrnou platbičku dlužného cla ve výši 1,10 Kč v podstatě slibují...

Nejvýkonnější superpočítač ČR se rodí v Ostravě

Superpočítačové centrum IT4Innovations se chystá na zkompletování nejnovějšího superpočítače v České republice. Ten bude ctít tradici všech superpočítačů a stane se nejvýkonnějším v lokalitě, a to sice díky výpočetnímu...

WhatsApp připravuje i nemobilní volání

WhatsApp by v budoucnu měl umožnit volání a videohovory i v jiných aplikacích než těch, které jsou určeny pro mobily a tablety. Konkrétně by se video/telefonie měla dostat i do webové aplikace a do aplikace desktopové. Otázkou zůstává, zda půjde o samostatné klienty...

Končí podpora Office 2010 Windows a Office 2016 Mac

Od 14. října 2020 už nejsou dostupny žádné další aktualizace pro kancelářský balík Office verze 2010 na platformě Windows a Office 2016 na platformě macOS. Microsoft k nim pomalu ukončuje uživatelskou podporu a postupně zruší i online nápovědu k nim.  ...


 
© 2005-2020 PS Media s.r.o. - digital world
 

reklama