Geekissimo

Mozilla Firefox, le estensioni diventano vulnerabili

 
Martina Oliva
8 aprile 2016
0 commenti

Tutti i più moderni browser Web impediscono l’esecuzione di contenuti infetti e l’accesso al computer dell’utente mediante apposite tecniche di sicurezza, sandboxing compreso. Ciononostante stando a quanto reso noto proprio nel corso delle ultime ore le attività malevoli possono comunque essere compiute su Firefox sfruttando le vulnerabilità delle estensioni.

Logo Firefox

A Scoprire la cosa sono stati due ricercatori che hanno provveduto a scrivere un add-on, denominato ValidateThisWebsite, che analizza il codice HTML per verificare se un sito rispetta gli standard correnti.

Per evitare di essere rilevato, un malware potrebbe dunque sfruttare le funzionalità di un add-on per accedere ai file di sistema, aprire siti di phishing o scaricare file infetti. In soldoni, un malintenzionato potrebbe sfruttare le vulnerabilità di un singolo add-on oppure eseguire attacchi più complessi, combinando i bug di varie estensioni. L’unica estensione non vulnerabile presente è Adblock Plus.

No Script, Firebug, Greasemonkey e altri popolari add-on consentono infatti l’esecuzione di codice remoto e il furto di dati sensibili, a causa dell’assenza di isolamento.

Per riuscire a far fronte alla cosa i ricercatori hanno suggerito a Mozilla di implementare un sistema di automatizzazione della ricerca delle vulnerabilità cross-extension.

Nick Nguyen, VP Firefox Product di Mozilla, ha affermato che gli add-on basati sulle API WebExtensions garantiscono una maggiore sicurezza e non sono vulnerabili a questo tipo di attacco. Il progetto Electrolysis, l’architettura multi-processo che verrà introdotta entro fine anno, andrà inoltre ad aggiungere il supporto per il sandboxing delle estensioni ragion per cui il codice non può essere condiviso.

[Photo Credits | tanuha2001 / Shutterstock.com]

Via | Ars Technica

Potrebbe interessarti anche
Articoli Correlati
Adobe Flash Player, scovata una nuova vulnerabilità zero-day

Adobe Flash Player, scovata una nuova vulnerabilità zero-day

Kaspersky ha scoperto una nuova vulnerabilità in Flash Player. Adobe ha già provveduto a rilasciare la patch in giornata.

OmniSidebar, ottimizzare e potenziare la barra laterale di Firefox

OmniSidebar, ottimizzare e potenziare la barra laterale di Firefox

Mozilla Firefox è senza alcun dubbio un ottimo browser web. Le già eccellenti funzionalità del fiore all’occhiello della Foundation possono però esser migliorate ulteriormente grazie all’installazione di appositi add-on. A […]

Google, oltre 3 milioni di dollari in palio per chi buca Chrome OS

Google, oltre 3 milioni di dollari in palio per chi buca Chrome OS

In quel di Google ne sono più che certi: Chrome OS, il sistema operativo basato sul browser web di big G, è inviolabile e per dimostrarlo Mountain View ha deciso […]

Firefox 2, ultimo atto

Firefox 2, ultimo atto

C’era da aspettarselo. Com’è uso nelle grandi società di sviluppo software (Mozilla, in questo caso), un abile stratagemma per spingere l’utenza ad effettuare l’upgrade di un prodotto è sospendere l’assistenza […]

Guinness stabilito, “Download Day” trionfale per Mozilla

Guinness stabilito, “Download Day” trionfale per Mozilla

Servivano 5 milioni di download, ne sono arrivati 8.290.908. Record stabilito. Bilancio del Download Day: positivissimo. Alle 18:17 di ieri si è concluso il chiacchieratissimo download day di Firefox 3, […]

Lista Commenti
Aggiungi il tuo commento

Fai Login oppure Iscriviti: è gratis e bastano pochi secondi.

Nome*
E-mail**
Sito Web
* richiesto
** richiesta, ma non sarà pubblicata
Commento