Mozilla Firefox, le estensioni diventano vulnerabili

Tutti i più moderni browser Web impediscono l’esecuzione di contenuti infetti e l’accesso al computer dell’utente mediante apposite tecniche di sicurezza, sandboxing compreso. Ciononostante stando a quanto reso noto proprio nel corso delle ultime ore le attività malevoli possono comunque essere compiute su Firefox sfruttando le vulnerabilità delle estensioni.

A Scoprire la cosa sono stati due ricercatori che hanno provveduto a scrivere un add-on, denominato ValidateThisWebsite, che analizza il codice HTML per verificare se un sito rispetta gli standard correnti.

Per evitare di essere rilevato, un malware potrebbe dunque sfruttare le funzionalità di un add-on per accedere ai file di sistema, aprire siti di phishing o scaricare file infetti. In soldoni, un malintenzionato potrebbe sfruttare le vulnerabilità di un singolo add-on oppure eseguire attacchi più complessi, combinando i bug di varie estensioni. L’unica estensione non vulnerabile presente è Adblock Plus.

No Script, Firebug, Greasemonkey e altri popolari add-on consentono infatti l’esecuzione di codice remoto e il furto di dati sensibili, a causa dell’assenza di isolamento.

Per riuscire a far fronte alla cosa i ricercatori hanno suggerito a Mozilla di implementare un sistema di automatizzazione della ricerca delle vulnerabilità cross-extension.

Nick Nguyen, VP Firefox Product di Mozilla, ha affermato che gli add-on basati sulle API WebExtensions garantiscono una maggiore sicurezza e non sono vulnerabili a questo tipo di attacco. Il progetto Electrolysis, l’architettura multi-processo che verrà introdotta entro fine anno, andrà inoltre ad aggiungere il supporto per il sandboxing delle estensioni ragion per cui il codice non può essere condiviso.

[Photo Credits | tanuha2001 / Shutterstock.com]

Via | Ars Technica