Firefox, estensioni vulnerabili a causa di un ‘difetto’ del meccanismo
Si chiama Sandbox ed è una delle tecniche usate da numerosi software per limitare i danni provocati da utilizzi non previsti delle stesse; in poche parole, una sandbox impedisce ad un programma l’accesso a diverse aree della memoria, del disco o del sistema operativo onde evitare avvenimenti sgradevoli.
Nonostante Mozilla Firefox si affidi a tecniche avanzate per garantire la sicurezza dell’utente e l’integrità dei dati nell’uso delle estensioni – tra cui, ad esempio, l’aver abolito definitivamente il caricamento di estensioni non firmate – è proprio l’assenza della sandbox a provocare un difetto di forma che rende numerose estensioni, di fatto, vulnerabili.
E’ il risultato di una recente ricerca messa a punto da due ricercatori, che hanno dimostrato come il non-sandboxing sulle estensioni potrebbe provocare l’esecuzione di codice remoto nel browser: in poche parole, un’estensione potrebbe “istruire” un’altra estensione a fare ciò che il browser di per sé impedirebbe di fare, ad esempio visitare un sito web malvagio.
Ciò, che possiamo definire “vulnerabilità cross-extension”, si verifica in particolare con estensioni quali GreaseMonkey, NoScript, FireBug e tutte quelle che possono essere “istruite” a fare qualcosa da parte di un agente esterno.
Funzionamento della vulnerabilità cross-extension
Per meglio comprendere il meccanismo, i due ricercatori hanno sviluppato come proof-of-concept un add-on, tale ValidateThisWebsite, che con la “scusa” di analizzare il codice HTML di un sito per la verifica della conformità agli standard, invocano invece l’add-on NoScript per far visualizzare all’utente una pagina web a piacere. Qualcosa di simile potrebbe essere usato per mostrare pagine pubblicitarie, pagine contenenti malware o peggio ancora contenenti tentativi di phishing.
Trattandosi di una “vulnerabilità” intrinseca nel sistema di gestione delle estensioni (per cui, ripetiamo, il browser Firefox applica comunque una ferma politica di sicurezza), Mozilla era già al corrente del problema ed in realtà è da tempo al lavoro sulla soluzione: grazie alle nuove API WebExtensions ed al progetto Electrolysis, che di fatto introdurrà il multi-processo in Firefox, verrà implementato entro la fine dell’anno il supporto al sandboxing delle estensioni.
In attesa che ciò avvenga, i ricercatori hanno spronato Mozilla affinché introduca un sistema in grado di cercare automaticamente questo tipo di vulnerabilità, anche grazie ad una eventuale integrazione con CrossFire, un’app sviluppata dai due ricercatori per rilevare le potenziali vulnerabilità cross-extension.
L’articolo Firefox, estensioni vulnerabili a causa di un ‘difetto’ del meccanismo appare per la prima volta su Chimera Revo – News, guide e recensioni sul Mondo della tecnologia.
Se vuoi sostenerci, puoi farlo acquistando qualsiasi cosa dai diversi link di affiliazione che abbiamo nel nostro sito o partendo da qui oppure alcune di queste distribuzioni GNU/Linux che sono disponibili sul nostro negozio online, quelle mancanti possono essere comunque richieste, e su cui trovi anche PC, NAS e il ns ServerOne. Se ti senti generoso, puoi anche donarmi solo 1€ o più se vuoi con PayPal e aiutarmi a continuare a pubblicare più contenuti come questo. Grazie!
Hai dubbi o problemi? Ti aiutiamo noi!
Se vuoi rimanere sempre aggiornato, iscriviti al nostro canale Telegram.Se vuoi ricevere supporto per qualsiasi dubbio o problema, iscriviti alla nostra community Facebook o gruppo Telegram.
Cosa ne pensi? Fateci sapere i vostri pensieri nei commenti qui sotto.
Ti piace quello che leggi? Per favore condividilo con gli altri.
