Mozilla Firefox, estensioni vulnerabili

I moderni browser impediscono l’esecuzione di contenuti infetti e l’accesso al computer dell’utente mediante varie tecniche di sicurezza, tra cui il sandboxing. Due ricercatori hanno scoperto che queste attività malevoli possono essere compiute su Firefox, sfruttando le vulnerabilità delle estensioni. No Script, Firebug, Greasemonkey e altri popolari add-on consentono l’esecuzione di codice remoto e il furto di dati sensibili, a causa dell’assenza di “isolamento”.

Il browser di Mozilla, infatti, non utilizza il sandboxing per le estensioni. Per evitare di essere rilevato, un malware potrebbe sfruttare le funzionalità di un add-on popolare per accedere ai file di sistema, aprire siti di phishing o scaricare file infetti. L’unica estensione non vulnerabile presente nell’attuale top 10 è AdBlock Plus. In pratica, un malintenzionato potrebbe sfruttare le vulnerabilità di un singolo add-on oppure eseguire attacchi più complessi, combinando i bug di varie estensioni.

I ricercatori hanno scritto un add-on, denominato ValidateThisWebsite, che analizza il codice HTML per verificare se un sito rispetta gli standard correnti. In realtà, l’estensione effettua una chiamata a NoScript che provoca la visualizzazione di una pagina web. Nick Nguyen, VP Firefox Product di Mozilla, ha dichiarato che gli add-on basati sulle API WebExtensions garantiscono una maggiore sicurezza e non sono vulnerabili a questo tipo di attacco. Il progetto Electrolysis aggiungerà inoltre il supporto per il sandboxing delle estensioni, per cui il codice non può essere condiviso.

In attesa dell’architettura multi-processo che verrà introdotta entro fine anno, i ricercatori hanno suggerito a Mozilla di implementare un sistema di automatizza la ricerca delle vulnerabilità cross-extension, eventualmente integrando la loro app CrossFire nel processo di verifica degli add-on.