0 Compartilhamentos 323 Views

Extensões populares do Firefox podem deixar milhões de usuários em risco

11 de abril de 2016

[Atualizado]: em 13/04/2016, com declaração do vice-presidente de produto do Firefox, Nick Nguyen – veja abaixo.

——-

O Mozilla Firefox é tido como um navegador bastante seguro. Esta característica ajuda a colocá-lo, obviamente, como um dos mais utilizados na atualidade. Além disso, ele conta com uma enorme quantidade de extensões, capazes de tornar sua utilização muito melhor ao mesmo tempo em que expandem sua gama de funcionalidades.

Infelizmente, justamente as extensões do browser podem colocar milhões de usuários em risco. Um problema com o isolamento dos recursos de diversos add-ons, no momento da execução, seria o responsável pelas brechas, segundo um grupo de pesquisadores.

Firefox - Logo

Extensões maliciosas estariam se aproveitando de bugs e brechas de segurança em outras extensões (não maliciosas) instaladas pelo usuário. Vulnerabilidades encontradas em algumas das extensões mais populares do Firefox poderiam ser assim exploradas e reutilizadas pelas extensões maliciosas, sendo que a atuação destas poderia até mesmo passar despercebida.

Trocando em miúdos, o código malicioso “invocaria” recursos de outras extensões, não maliciosas porém contendo vulnerabilidades. Estas seriam então exploradas, utilizadas, para as tais finalidades criminosas. As falhas e brechas nelas existentes seriam utilizadas para finalidades escusas (por exemplo: redirecionar os usuários desavisados para sites de phishing).

Os pesquisadores realizaram testes com as 10 extensões mais populares do Firefox, e apenas a Adblock Plus se mostrou livre de falhas que permitam os ataques de reutilização de vulnerabilidades. Dentre as extensões problemáticas teríamos, por exemplo, NoScript, Firebug, Greasemonkey, DownThemAll e Video DownloadHelper.

Ainda segundo o grupo de pesquisadores, durante a conferência de segurança Black Hat, em Singapura, “extensões maliciosas que utilizam esta técnica seriam significantemente mais difíceis de serem detectadas através das atuais técnicas estáticas ou dinâmicas de análise“.

O vice-presidente de produto do Firefox, Nick Nguyen, entretanto, mostrando-se preocupado com a divulgação e com o hipotético impacto das vulnerabilidades, deu a seguinte declaração:

A forma como os add-ons são implementados no Firefox hoje permite o cenário hipotético e apresentado no evento Black Hat Ásia. O método descrito baseia-se em um popular add-on  vulnerável, e que permite a instalação de um outro add-on que se aproveita dessa vulnerabilidade para ser instalado.

Devido a riscos como este existirem, estamos evoluindo tanto o nosso produto quanto nossa plataforma de extensões para promover mais segurança. O novo conjunto de APIs de extensão do navegador, que compõem o WebExtensions e que estão disponíveis no Firefox hoje, são inerentemente mais seguros do que os add-ons tradicionais, e não são vulneráveis ao ataque descrito na apresentação do Black Hat Asia.

Como parte de nossa iniciativa de eletrólise – projeto que visa introduzir a arquitetura multiprocessamento no Firefox ainda este ano – vamos começar a colocar as extensões do Firefox em áreas isoladas (sandbox), assim elas não poderão compartilhar códigos.

Carregando...

Você pode se interessar

Promoções de Jogos do Final de Semana (23/10)
Notícias
9 visualizações
Notícias
9 visualizações

Promoções de Jogos do Final de Semana (23/10)

Carlos L. A. da Silva - 23 de outubro de 2020

Confira as melhores ofertas de jogos de PC para o final de semana.

Você precisa conhecer YAML
Artigos
12 visualizações
Artigos
12 visualizações

Você precisa conhecer YAML

Carlos L. A. da Silva - 20 de outubro de 2020

O arquiteto de software André Boerseun apresenta os princípios fundamentais do YAML e sua complexa sintaxe.

Promoções de Jogos do Final de Semana (16/10)
Notícias
20 visualizações
Notícias
20 visualizações

Promoções de Jogos do Final de Semana (16/10)

Carlos L. A. da Silva - 16 de outubro de 2020

Confira as melhores ofertas de jogos de PC para o final de semana.

Deixe um Comentário

Your email address will not be published.

Mais publicações

Os 7 piores erros de Excel da História
Artigos
22 visualizações
22 visualizações

Os 7 piores erros de Excel da História

Carlos L. A. da Silva - 15 de outubro de 2020
Como aprender JavaScript de graça com a Microsoft
Dicas
23 visualizações
23 visualizações

Como aprender JavaScript de graça com a Microsoft

Carlos L. A. da Silva - 14 de outubro de 2020
Promoções de Jogos do Final de Semana (09/10)
Notícias
28 visualizações1
28 visualizações1

Promoções de Jogos do Final de Semana (09/10)

Carlos L. A. da Silva - 9 de outubro de 2020
Como a Microsoft entrou na guerra contra os Deep Fakes
Artigos
27 visualizações
27 visualizações

Como a Microsoft entrou na guerra contra os Deep Fakes

Carlos L. A. da Silva - 6 de outubro de 2020