SeaMonkey Internet Suite

Inoffizielle Neuigkeiten in deutscher Sprache

9 von 10 sehr beliebten Add-Ons sind verwundbar gegenüber Angriffen

2 Comments

Blogpost in englischer SpracheAuf mozilla.general (Vulnerability discovered in Firefox extensions) hat User WaltS48 auf  diesen Artikel auf arstechnica.com, der sicherheitsbezogene Forschungsergebnisse mehrerer Wissenschaftler(?) der  Northeastern University zusammenfasst, hingewiesen. Meine Zusammenfassung der Zusammenfassung:  Das Firefox Add-On-Konzept erleichtert Angriffe über die Add-Ons. Oder aus Sicht der Add-On-Entwickler: Das Konzept erleichtert zwar wohl die Programmierung großartiger Hilfsmittel, erschwert es aber zugleich, diese Add-Ons wirklich sicher zu bekommen. Der vollständige Bericht kann  hier  heruntergeladen werden — versucht, Euch ein eigenes Bild zu machen.

Natürlich gelten dieselben Bedenken bezüglich der Add-OnSicherheit auch für  SeaMonkey.

Advertisements

Author: rrbd

Freelancer, Engineer, Camper, Canoeist

2 thoughts on “9 von 10 sehr beliebten Add-Ons sind verwundbar gegenüber Angriffen

  1. Das ist absolut nix neues was die “Wissenschaftler” da schreiben. Genau genommen ist das bekannt, seit dem es Extensions für die Mozilla Suite gab. Und wenn ein bösartiges Addon installiert wird, dann ist es letztendlich egal, ob es selber den Mist verursacht, oder durch Aufrufe anderer Addons… Für mich gehört so ein Artikel in den Müll – und für die “Wissenschaftler” ein Titelentzug (falls die einen überhaupt haben…).

    Liked by 1 person

  2. Ich habe CrossFire: An Analysis of Firefox Extension-Reuse Vulnerabilities gelesen, meine Vorkenntnisse zum Thema sind bestenfalls etwas Halbwissen. Ich versuche trotzdem mal eine Zusammenfassung und Einordung.

    Tatsächlich ist der untersuchte Sachverhalt, dass gemeinsame Nutzung eines Globalvariablen-Namensraums zusammen mit kaum vorhandenen Einschränkungen beim Zugriff auf Systemvariablen Missbrauch in der Art, dass ein harmlos aussehende schädliches Add-On ein anderes “fernsteuert” (Extension-Reuse) und benutzt, seine schädlichen Ziele zu erreichen, nicht neu. Dieser Gefahr hat Lt. aussage des Artikels Mozilla mit Add-on SDK im Jetpack-Projekt Rechnung getragen, Regeltreue Add-On-Programmierung sollte solchen Fernsteuerungs-Missbrauch weitgehend ausschließen; allerdings nutzen auch viele aktuelle Add-Ons “aus Bequemlichkeit” oder weil bestimmte Features sonst nicht oder zumindest nur schwer machbar wären, die alte Programmierweise.

    Gegenstand der Untersuchung waren Add-Ons, die die alte Programmierweise oder einen Mischmasch nutzen, nicht, nicht aber solche, die Konsequent das Jetpack framework nutzen, und auch nicht binäre Plugins wie der Flash-Player.

    Zur Frage der Anfälligkeit für Extension-Reuse wurden allerlei tests für Statistische Auswertungen durchgeführt und teils automatisch, teils auch manuell Exploits erstellt.

    Schließlich haben die Autoren ein Add-On namens ValidateThisWebsite (ich fand nur ValidateThisWebPage) erstellt, auf AMO hochgeladen und durch den kompletten Review gebracht; dieses Add-On ermöglichte es den Autoren, über das Add-On NoScript “heimlich” zugriff auf beliebige URL zu erlangen, was zur Einschleusung von Schadsoftware hätte benutzt werden können. Soweit ich das im Internet nachvollziehen konnte haben die Autoren das auch bei der Black-Hat-Konferenz 2016 in Asien vorgeführt.

    Weitere Literatur zur Studie (alles Englisch):

    Ich hoffe, mein Laienverständnis hat nicht zu viele Gedankenfehler in den Text eingebaut :-/

    Like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s