Neun der zehn beliebtesten Firefox-Erweiterungen enthalten Schwachstellen, die eine neue Angriffsmethode durch eine zusätzlich installierte Erweiterung ermöglichen. Diese kann im Huckpack-Verfahren Funktionen der häufig vorhandenen Erweiterungen für ihre bösartigen Zwecke nutzen. Das haben Sicherheitsforscher auf der Konferenz Black Hat Asia in Singapur enthüllt und eine Studie (PDF) dazu veröffentlicht.
Unter den zehn populärsten Add-ons, die Mozilla selbst auf seiner Webseite verfügbar macht, enthält demnach nur Adblock Plus keine solche Schwachstelle. In NoScript, Firebug, Greasemonkey, Video DownloadHelper und FlashGot Mass Downloader hingegen fanden sich Bugs, die die Ausführung bösartigen Codes durch ein weiteres gefährliches Add-on ermöglichen. Viele Erweiterungen erlauben es außerdem, Browser-Cookies zu entwenden, auf das Dateisystem eines Computers zuzugreifen oder Webseiten nach Wunsch eines Angreifers zu öffnen.
Da das alles durch die indirekte Nutzung vertrauenswürdiger Erweiterungen erfolgt, ist es umso schwieriger, auf das bösartige Add-on aufmerksam zu werden. Statt selbst den Besuch einer bösartig präparierten Website oder den Download von Malware zu veranlassen, kann das Add-on Schwachstellen in anderen Erweiterungen für seine Zwecke nutzen.
Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!
„Angreifer können eine Erweiterung schreiben, die für jeden, der das Plug-in untersucht, harmlos aussieht“, zitiert Threatpost William Robertson, einen der vier Wissenschaftler, die die Schwachstelle aufdeckten. „Aber wenn sie einmal dem Firefox-Browser hinzugefügt ist, könnte die harmlos wirkende Erweiterung ganz einfach eine zweite Firefox-Erweiterung ausnutzen, um Malware auf den Rechner des Nutzers zu bringen.“ Als Proof-of-Concept-Code erstellten sie eine Firefox-Erweiterung mit rund 50 Programmzeilen, die bei Mozillas Überprüfung nicht als bösartig erkannt wurde.
Eine der Hürden für potentielle Angreifer ist aber natürlich, das der Nutzer diese zusätzliche Erweiterung zuerst installieren muss. Robertson führte weiter aus, dass die Mozilla Foundation schon „eine Zeitlang“ über die Erkenntnisse der Northeastern-University-Forscher informiert und seither besonders wachsam ist, wenn es um die Prüfung neu eingereichter Add-ons für den Browser geht.
Mozilla wiederum verwies auf neue Browser-APIs für WebExtensions, die ab sofort für Firefox verfügbar sind: „Sie sind grundsätzlich sicherer als herkömmliche Add-ons und nicht anfällig für die besondere Attacke, die bei der Präsentation auf Black Hat Asia beschrieben wurde. Als Teil unserer Initiative Electrolysis – unser Projekt für die Einführung einer Multi-Prozess-Architektur für Firefox später in diesem Jahr – werden wir mit dem Sandboxing von Firefox-Erweiterungen beginnen, damit sie keinen Programmcode mehr teilen können.“
Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…
Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.
2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…
Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…
NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.
Latrodectus, auch bekannt als BlackWidow, ist auch unter dem Namen LUNAR SPIDER bekannt.