此缺陷允許惡意擴充功能使用其他擴充功能的功能來劫持使用者的電腦。在排名前 10 名的 Firefox 擴充功能中,除了 AdBlock Plus 之外,所有擴充功能都容易受到攻擊。
Firefox 擴充功能在網路使用者中非常受歡迎,它允許您為瀏覽器添加實用功能:下載影片、存取密碼資料庫、封鎖廣告等。但這些軟體的添加也引入了兩個安全研究人員剛剛在 BlackHat Asia 2016 會議上提出的漏洞。
稱為“擴充重複使用漏洞”,它允許惡意擴充功能偷偷地使用其他已安裝擴充功能的功能:下載檔案、開啟網站、存取電腦上的檔案等。這是基於這樣一個事實:Firefox 擴充功能一旦安裝在瀏覽器中,彼此之間的隔離程度就不夠。這是由非常寬鬆的底層技術(XPCOM,跨平台組件物件模型)解釋的。
這個缺陷更加有害,因為它使攻擊者無法向 Mozilla 發出警報,Mozilla 在將擴充功能發佈到「Add-ons」(其 Firefox 擴充市場)之前會系統性地對其進行分析。事實上,為了進行攻擊,惡意擴充不需要將任何敏感功能整合到其程式碼中。因此它看起來完全無害。作為演示,研究人員在Mozilla Add-Ons 上發布了一個名為“ValidateThisWebsite”的擴展,從外觀上看,它允許您驗證網站,但在後台,它會嘗試連接到著名的腳本攔截器NoScript 以打開網頁。最終,他們的擴展毫無困難地通過了 Mozilla 的全面審查。
研究人員隨後想知道有多少 Firefox 擴充功能容易受到攻擊,為此,他們開發了名為 CrossFire 的自動分析軟體。結果:在下載次數最多的 10 個 Firefox 擴充功能中,只有一個不易受攻擊,即「AdBlock Plus」。漏洞的程度各不相同:有些只有幾個易受攻擊的功能,有些則有幾十個。對於“Web of Trust”和“VideoDownloadHelper”,研究人員分別發現了 33 個和 15 個“擴展重用”漏洞。
但受影響的不僅是前十名。此漏洞似乎存在於大量擴充功能中。透過分析 2000 個下載最多的擴充程序,研究人員統計出 3000 多個漏洞。我們可以做什麼來保護自己?沒有可用的補丁。由於這是一個結構缺陷,Mozilla 需要改變擴充功能整合到瀏覽器中的方式。
這很好:去年八月,基金會宣布將採用 Chrome 擴充模型,從這個角度來說更安全。目前,這種名為「WebExtensions」的新模型正在進行中。阿爾法版本。同時,建議不要下載任何未知作者的擴充功能。
來源 :
