2016/04/10

Add-ons do Firefox vulneráveis a ataques de outros add-ons maliciosos


O Firefox é considerado um browser seguro, mas há uma nova vertente de ataque que pode colocar a maioria dos seus utilizadores em risco, e basta que usem alguns dos seus mais populares add-ons.

Já sabemos que os atacantes e hackers são bastante criativos para encontrarem formas de atingir os seus objectivos, e agora há uma forma relativamente fácil de o fazerem no Firefox. Em vez de se terem dado ao trabalho de procurar uma vulnerabilidade no Firefox, apostaram em usar algo que até poderia ser considerado uma vantagem: o factos dos add-ons partilharem o mesmo espaço de execução, que permite que uns add-ons possam aceder a funções dos outros. Se isso poderia ser interessante nuns casos, é também uma porta aberta para que um add-on malicioso se aproveite de outros add-ons de confiança para cumprir a sua missão.

O caso é mais problemático por, 9 dos 10 add-ons mais populares do Firefox, conterem vulnerabilidades que permitem este tipo de ataque. Curiosamente, deste top 10 (que inclui add-ons como o Firebug, NoScript, Greasemonkey, e DownThemAll) só o AdBlock Plus está a salvo deste tipo de ataques. Mas, uma vez praticamente todos os utilizadores do Firefox utilizarão pelo menos um destes add-ons vulneráveis, será necessário ter cautela adicional quanto a outros add-ons que possam instalar no browser.

A Mozilla já está a trabalhar no sentido de fazer com que todos os add-ons funcionem em espaços isolados, o que impediria que esta táctica funcione, e deverá também aumentar o controlo no processo de aprovação de add-ons. Pois, ao se aproveitarem de vulnerabilidades de outros add-ons, um add-on malicioso passa a ser bastante mais difícil de descobrir, pois não usa directamente funções que poderiam alterar para o seu comportamento de risco... deixando que isso seja feito por parte de outros add-ons que já foram considerados "seguros".

Se forem utilizadores do Firefox, fica o alerta.

1 comentário:

[pub]