Des extensions Firefox populaires vulnérables à une attaque

Le par  |  13 commentaire(s)
Firefox-addons

De nombreuses extensions populaires pour le navigateur Firefox sont vulnérables à une attaque permettant de compromettre un ordinateur par le biais d'une autre extension en apparence inoffensive.

À l'occasion de la conférence Black Hat Asia, des chercheurs de l'université Northeastern ont présenté une vulnérabilité dite extension-reuse (PDF) et permettant de lancer des attaques silencieuses via le navigateur Firefox et les extensions.

Firefox-nouveau-logoÀ Threatpost, un des chercheurs à l'origine de cette découverte explique qu'une extension en apparence inoffensive peut être ajoutée au navigateur Firefox, puis s'appuyer sur une deuxième extension légitime déjà présente afin d'implanter un malware sur l'ordinateur. Pour cela, elle va faire appel à des fonctions présentes dans l'extension légitime, ce qui n'aura pas été décélé lors des contrôles de validation. La mécanique a été testée sur Windows et OS X.

Une analyse de 2 000 extensions Firefox a montré que plusieurs extensions populaires parmi lesquelles NoScript, Video DownloadHelper, GreaseMonkey ou encore FlashGot Mass Donwloader sont affectées (pas Adblock Plus qui est la plus populaire de toutes). Elles ont été téléchargées par des millions d'utilisateurs. Le souci est que ce problème est inhérent à la manière dont Firefox gère les extensions, et actuellement avec un défaut de sandbox.

L'alerte est à corréler avec le modèle XPCOM (Cross-Platform Component Object Model ; en cours de dépréciation) de Mozilla qui permet aux extensions d'avoir accès à des ressources sensibles du système, bien au-delà de l'historique de navigation ou des cookies.

Reste que Mozilla fait sa mue au niveau des extensions en s'orientant vers les APIs WebExtensions, qui sont d'ores et déjà disponibles dans Firefox, et offrent par nature une plus grande sécurité qu'avec le modèle traditionnel des modules complémentaires de ce navigateur.

Vice-président de Firefox chargé des produits, Nick Nguyen souligne que les WebExtensions ne sont pas vulnérables à l'attaque présentée par les chercheurs de l'université Northeastern. Il ajoute que dans le cadre du support de l'architecture multi-processus (e10s), les extensions Firefox seront exécutées dans un environnement de sandbox.

Ces évolutions d'importance que sont les WebExtensions et le multi-processus sont en cours de finalisation pour mi-2016.

Complément d'information

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1888507
Pour être tranquille, suffit de changer de nav sinon
Le #1888508
Safirion a écrit :

Pour être tranquille, suffit de changer de nav sinon


On est pas dredi hein ....

(et puis changer pour moins bien ? )
Le #1888523
Safirion a écrit :

Pour être tranquille, suffit de changer de nav sinon


On ne peut pas, Safari n'existe plus sous Windows.

Le #1888528
FRANCKYIV a écrit :

Safirion a écrit :

Pour être tranquille, suffit de changer de nav sinon


On est pas dredi hein ....

(et puis changer pour moins bien ? )


(Y a quoi de moins bien que Firefox à part Safari et IE ? )
Le #1888531
Safirion a écrit :

Pour être tranquille, suffit de changer de nav sinon


Et tu lâcherais Firefox pour quel merveilleux navigateur ? ... Oups, ne me répond pas, comme dit FRANCKYIV, on n'est pas vendredi. Désolé
Le #1888532
Eisenstein a écrit :

Safirion a écrit :

Pour être tranquille, suffit de changer de nav sinon


On ne peut pas, Safari n'existe plus sous Windows.



Encore heureux
Le #1888550
Safirion a écrit :

FRANCKYIV a écrit :

Safirion a écrit :

Pour être tranquille, suffit de changer de nav sinon


On est pas dredi hein ....

(et puis changer pour moins bien ? )


(Y a quoi de moins bien que Firefox à part Safari et IE ? )



Edge ? Chrome ?

En faite, c'est triste, mais pour une application aussi courante et généralisée, y'a pas (plus) vraiment de "bons" logiciels.....

Les rares "bons" sont devenus des bouses bouffées par le marketing, un peu comme les évolutions de néro, winamp, etc... avec le temps


Le #1888556
Chitzitoune a écrit :

Safirion a écrit :

FRANCKYIV a écrit :

Safirion a écrit :

Pour être tranquille, suffit de changer de nav sinon


On est pas dredi hein ....

(et puis changer pour moins bien ? )


(Y a quoi de moins bien que Firefox à part Safari et IE ? )



Edge ? Chrome ?

En faite, c'est triste, mais pour une application aussi courante et généralisée, y'a pas (plus) vraiment de "bons" logiciels.....

Les rares "bons" sont devenus des bouses bouffées par le marketing, un peu comme les évolutions de néro, winamp, etc... avec le temps


Tu oublies le plus ancien de tous, le très renommé Norton
Et maintenant c'est au tour d'Avast d'être plombé.
Le #1888557
Chitzitoune a écrit :

Safirion a écrit :

FRANCKYIV a écrit :

Safirion a écrit :

Pour être tranquille, suffit de changer de nav sinon


On est pas dredi hein ....

(et puis changer pour moins bien ? )


(Y a quoi de moins bien que Firefox à part Safari et IE ? )



Edge ? Chrome ?

En faite, c'est triste, mais pour une application aussi courante et généralisée, y'a pas (plus) vraiment de "bons" logiciels.....

Les rares "bons" sont devenus des bouses bouffées par le marketing, un peu comme les évolutions de néro, winamp, etc... avec le temps


Salut,

Je suis passé d'Opera à Vivaldi et n'ai pas l'impression d'avoir marché dans une bouse démoulée par un marketeux Les deux softs sont plutôt bons, ÀMHA...

@+
--
Pierre
Le #1888564
ra-mon a écrit :

Chitzitoune a écrit :

Safirion a écrit :

FRANCKYIV a écrit :

Safirion a écrit :

Pour être tranquille, suffit de changer de nav sinon


On est pas dredi hein ....

(et puis changer pour moins bien ? )


(Y a quoi de moins bien que Firefox à part Safari et IE ? )



Edge ? Chrome ?

En faite, c'est triste, mais pour une application aussi courante et généralisée, y'a pas (plus) vraiment de "bons" logiciels.....

Les rares "bons" sont devenus des bouses bouffées par le marketing, un peu comme les évolutions de néro, winamp, etc... avec le temps


Salut,

Je suis passé d'Opera à Vivaldi et n'ai pas l'impression d'avoir marché dans une bouse démoulée par un marketeux Les deux softs sont plutôt bons, ÀMHA...

@+
--
Pierre



Ca fait partis des exemples pourtant qui a "perdu" énormement....

Opera à la mode Presto avait un certain "plus", des particularités (après qu'on appréciait ou pas)

Opéra Chrominum, autant prendre chrome, c'est devenu un clone aussi pourri même niveau interface....

Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]