[-Fx-] 多個最流行 Firefox 擴展包含了可利用的漏洞
安全研究人員發現(*1),NoScript、Firebug、Video DownloadHelper、Greasemonkey
和 FlashGot Mass Down 等最流行的 Firefox 擴展( Adblock Plus 除外)都包含了
可利用的漏洞,允許攻擊者開發的擴展通過調用其它擴展的功能而隱藏其惡意行為,
降低被發現的幾率。
漏洞與 Firefox 的擴展架構未能隔離擴展有關,它讓所有 JavaScript 擴展共享相同
的 JavaScript 命名空間,共享的命名空間讓其它擴展能讀寫其它擴展定義的全局變量,
調用或覆寫其它全局函數,修改實例化對象。
研究人員稱,攻擊者可以誘騙用戶安裝惡意擴展,然後惡意擴展可以通過調用瀏覽器安
裝的其它流行擴展去竊取 cookies,控制或訪問文件系統,或打開攻擊者選擇的網址。
研究人員開發的概念驗證原型還通過了 Mozilla 的審核。
Firefox 產品副總裁在一份聲明中表示,它的新擴展 API WebExtensions 提供了更好
的安全功能。
*1 NoScript and other popular Firefox add-ons open millions to new attack
http://arstechnica.com/?p=859923
http://www.solidot.org/story?threshold=0&mode=nested&sid=47756
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 118.232.35.72
※ 文章網址: https://www.ptt.cc/bbs/Browsers/M.1460013298.A.EDE.html
推
04/07 20:18, , 1F
04/07 20:18, 1F
推
04/07 21:26, , 2F
04/07 21:26, 2F
→
04/08 04:40, , 3F
04/08 04:40, 3F
→
04/08 04:41, , 4F
04/08 04:41, 4F
→
04/08 04:44, , 5F
04/08 04:44, 5F
→
04/08 04:52, , 6F
04/08 04:52, 6F