Alfonso Maruccia

Firefox, estensioni vulnerabili e polemica

Ricercatori statunitensi sostengono di aver identificato un nuovo vettore di attacco su Firefox, basato sull'uso di estensioni vulnerabili ma perfettamente legittime. E' solo FUD, ribatte l'autore di NoScript

Roma - Un nuovo vettore di attacco identificato in Firefox è oggetto di uno studio recentemente presentato durante la conferenza di sicurezza Black Hat Asia 2016, una problematica corroborata dalle ammissioni di Mozilla ma contestata da uno degli sviluppatori chiamati direttamente in causa dalla ricerca.

Stando a quanto sostengono gli autori dello studio, alcune delle estensioni per Firefox più popolari sono vulnerabili all'abuso da parte di un'estensione terza, apparentemente "pulita" ma potenzialmente in grado di accedere ai file, reindirizzare la connessione dell'utente verso siti truffaldini e altro ancora.

I ricercatori sono riusciti a sfruttare la vulnerabilità servendosi di add-on del calibro di NoScript (2,5 milioni di installazioni attive), GreaseMonkey (1,5 milioni), e Video DownloadHelper (6,5 milioni), dimostrando dal vivo che la loro estensione di test ("ValidateThisWebsite") conteneva una quantità minima di codice (50 linee) ed era in grado di superare senza fallo il processo di approvazione da parte di Mozilla.
La fondazione americana ha commentato la nuova ricerca ammettendo che il problema esiste con l'attuale modello degli add-on per Firefox, perché i componenti esterni non girano in sandbox. Con l'adozione obbligatoria di WebExtensions e del design restrittivo degli add-on, promette Mozilla, la sicurezza di browser e componenti aggiuntivi migliorerà sensibilmente.

L'abbandono del modello classico di add-on XUL e XPCOM è un evento destinato a cambiare in maniera radicale la tecnologia e l'utilizzabilità di Firefox. Anche la nuova ricerca, accusa lo sviluppatore di NoScript, è semplice FUD e sensazionalismo che non prende in considerazione i rischi di sicurezza comunque esistenti ance in ambito WebExtensions.

Alfonso Maruccia
Notizie collegate
7 Commenti alla Notizia Firefox, estensioni vulnerabili e polemica
Ordina
  • gli add-on di Firefox NON girano in una sandbox quindi sono insicuri quanto gli ActiveX di IE, anzi peggio, perché su IE girano in una sandbox.
    non+autenticato
  • In passato gli ActiveX di Internet Explorer si potevano eseguire da qualsiasi pagina web e si eseguivano da soli. Poi col messaggio di conferma, poi sono praticamente spariti.. penso siano stati disattivati del tutto di default, oppure no?

    Un addon su firefox prima devi autorizzarlo a installarsi. E' come installare un programma qualsiasi. Se non premi "Installa adesso" (due volte, una per scaricarlo e una per installarlo) allora non si esegue. Poi anche l'installazione semplificata puo' partire solo dai siti nella whitelist (come quello di Mozilla), mentre l'installazione classica su siti https.
    Non è un sistema sicurissimo e l'utente molto distratto potrebbe premere a caso sui bottoni senza curarsi di quello che fanno... pero' non è che un addon si installa e si esegue da solo su firefox. Per quanto Mozilla abbia trasformato firefox in un bloatware schifoso pieno di bug a non finire con un'interfaccia grafica pesante e orribile (copiata da chrome), almeno l'installazione degli addon non mi pare messa troppo male.
    non+autenticato
  • - Scritto da: Nome e cognome
    > In passato gli ActiveX di Internet Explorer si
    > potevano eseguire da qualsiasi pagina web e si
    > eseguivano da soli.

    in un passato molto remoto, perché è dai tempi di IE6 che gli ActiveX non si scaricano da soli
    non+autenticato
  • - Scritto da: palomita
    > gli add-on di Firefox NON girano in una sandbox
    > quindi sono insicuri quanto gli ActiveX di IE,
    > anzi peggio, perché su IE girano in una
    > sandbox.

    Ha ha, se non sapevo che hai preso la palla al balzo per trollare Troll, quasi quasi, ti avrei preso sul serio. Ma non posso trattenermi dal ridere..per ora. ha ha ha!?
    non+autenticato
  • se lui dice che e' FUD, ci credo (no non e' una battuta).

    E in effetti, leggendo la sua reply, e' piuttosto evidente....
    non+autenticato
  • - Scritto da: bubba
    > se lui dice che e' FUD, ci credo (no non e' una
    > battuta).
    >
    >
    > E in effetti, leggendo la sua reply, e' piuttosto
    > evidente....

    Beh Maone non è certo l'ultimo della classe. E di motivazioni almeno per dargli credito ci sono!
    non+autenticato
  • - Scritto da: bubba
    > se lui dice che e' FUD, ci credo (no non e' una
    > battuta).
    >
    >
    > E in effetti, leggendo la sua reply, e' piuttosto
    > evidente....

    Senza tirare in ballo Maone (riverenza obbligatoria), in linea piu' generale, qualunque dichiarazione degli intermediari parassiti e' FUD.