Categories: Sicherheit

Verbreitete Firefox-Erweiterungen wie NoScript für neuartigen Angriff anfällig

Neun der zehn beliebtesten Firefox-Erweiterungen enthalten Schwachstellen, die eine neue Angriffsmethode durch eine zusätzlich installierte Erweiterung ermöglichen. Diese kann im Huckpack-Verfahren Funktionen der häufig vorhandenen Erweiterungen für ihre bösartigen Zwecke nutzen. Das haben Sicherheitsforscher auf der Konferenz Black Hat Asia in Singapur enthüllt und eine Studie (PDF) dazu veröffentlicht.

Das zugrundeliegende Problem sehen die Forscher der Northeastern University in der fehlenden Isolation zwischen den Add-ons in der Erweiterungsarchitektur des Browsers. Mozilla ist sich dessen auch bewusst, wie aus einer Stellungnahme von Nick Nguyen, Vice President of Product Strategy, gegenüber Ars Technica hervorgeht. Gegen solche Risiken will es mit neuen APIs für Erweiterungen angehen und auch die Sicherheit des Kernprodukts weiterentwickeln.

Unter den zehn populärsten Add-ons, die Mozilla selbst auf seiner Webseite verfügbar macht, enthält demnach nur Adblock Plus keine solche Schwachstelle. In NoScript, Firebug, Greasemonkey, Video DownloadHelper und FlashGot Mass Downloader hingegen fanden sich Bugs, die die Ausführung bösartigen Codes durch ein weiteres gefährliches Add-on ermöglichen. Viele Erweiterungen erlauben es außerdem, Browser-Cookies zu entwenden, auf das Dateisystem eines Computers zuzugreifen oder Webseiten nach Wunsch eines Angreifers zu öffnen.

Da das alles durch die indirekte Nutzung vertrauenswürdiger Erweiterungen erfolgt, ist es umso schwieriger, auf das bösartige Add-on aufmerksam zu werden. Statt selbst den Besuch einer bösartig präparierten Website oder den Download von Malware zu veranlassen, kann das Add-on Schwachstellen in anderen Erweiterungen für seine Zwecke nutzen.

Whitepaper

Studie zu Filesharing im Unternehmen: Kollaboration im sicheren und skalierbaren Umfeld

Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!

„Angreifer können eine Erweiterung schreiben, die für jeden, der das Plug-in untersucht, harmlos aussieht“, zitiert Threatpost William Robertson, einen der vier Wissenschaftler, die die Schwachstelle aufdeckten. „Aber wenn sie einmal dem Firefox-Browser hinzugefügt ist, könnte die harmlos wirkende Erweiterung ganz einfach eine zweite Firefox-Erweiterung ausnutzen, um Malware auf den Rechner des Nutzers zu bringen.“ Als Proof-of-Concept-Code erstellten sie eine Firefox-Erweiterung mit rund 50 Programmzeilen, die bei Mozillas Überprüfung nicht als bösartig erkannt wurde.

Eine der Hürden für potentielle Angreifer ist aber natürlich, das der Nutzer diese zusätzliche Erweiterung zuerst installieren muss. Robertson führte weiter aus, dass die Mozilla Foundation schon „eine Zeitlang“ über die Erkenntnisse der Northeastern-University-Forscher informiert und seither besonders wachsam ist, wenn es um die Prüfung neu eingereichter Add-ons für den Browser geht.

Mozilla wiederum verwies auf neue Browser-APIs für WebExtensions, die ab sofort für Firefox verfügbar sind: „Sie sind grundsätzlich sicherer als herkömmliche Add-ons und nicht anfällig für die besondere Attacke, die bei der Präsentation auf Black Hat Asia beschrieben wurde. Als Teil unserer Initiative Electrolysis – unser Projekt für die Einführung einer Multi-Prozess-Architektur für Firefox später in diesem Jahr – werden wir mit dem Sandboxing von Firefox-Erweiterungen beginnen, damit sie keinen Programmcode mehr teilen können.“

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

ZDNet.de Redaktion

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

12 Stunden ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

12 Stunden ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

19 Stunden ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

1 Tag ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

2 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

2 Tagen ago