Firefox durch neuartige Methode über gängige Erweiterungen angreifbar
Ein zusätzliches, bösartiges Add-on kann Funktionen häufig installierter, seriöser Erweiterungen missbrauchen. Das Verfahren haben Sicherheitsforscher auf der Konfernz Black Hat Asia in Singapur demonstriert. Mit neuen APIs für Erweiterungen und Sandboxing will Mozilla gegensteuern.
Neun der zehn verbreitetsten Firefox-Erweiterungen sind durch Schwachstellen über eine neue Angriffsmethode angreifbar. Dafür muss es der Angreifer lediglich schaffen, ein weiteres Add-on zu installieren. Diese kann dann Funktionen der vorhandenen Erweiterungen für ihre Zwecke missbrauchen. Das Verfahren haben Sicherheitsforscher jetzt auf der Konferenz Black Hat Asia in Singapur vorgeführt (PDF).
Die Forscher der Northeastern University nutzen für ihren Angriff aus, dass es in der Erweiterungsarchitektur des Browsers keine Isolation zwischen den Add-ons gibt. Nick Nguyen, Vice President of Product Strategy bei Mozilla, räumte das gegenüber Ars Technica auch ein. Als Gegenmaßnahme wolle man neuen APIs für Erweiterungen bringen und auch die Sicherheit des Kernprodukts weiterentwickeln.
Von den zehn meistgenutzten Add-ons, die Mozilla selbst auf seiner Webseite verfügbar macht, steckt die Schwachstelle in neun: NoScript, Firebug, Greasemonkey, Video DownloadHelper und FlashGot Mass Downloader. Viele Erweiterungen erlauben es außerdem, Browser-Cookies zu entwenden, auf das Dateisystem eines Computers zuzugreifen oder dass Unbefugte Webseiten öffnen.
“Angreifer können eine Erweiterung schreiben, die für jeden, der das Plug-in untersucht, harmlos aussieht”, zitiert Threatpost William Robertson, einen der vier Wissenschaftler, die die Schwachstelle aufdeckten. “Aber wenn sie einmal dem Firefox-Browser hinzugefügt ist, könnte die harmlos wirkende Erweiterung ganz einfach eine zweite Firefox-Erweiterung ausnutzen, um Malware auf den Rechner des Nutzers zu bringen.” Als Proof-of-Concept-Code erstellten sie eine Firefox-Erweiterung mit rund 50 Programmzeilen, die bei Mozillas Überprüfung nicht als bösartig erkannt wurde.
Eine der Hürden für Angreifer ist es, Nutzer dazu zu verleiten, diese zusätzliche Erweiterung zu installieren. Robertson führte weiter aus, dass die Mozilla Foundation schon “eine Zeitlang” über die Erkenntnisse der Northeastern-University-Forscher Bescheid weiß und seither besonders wachsam ist, wenn es um die Prüfung neu eingereichter Add-ons für den Browser geht.
Mozilla verwies auf neue Browser-APIs für WebExtensions, die ab sofort für Firefox verfügbar sind: “Sie sind grundsätzlich sicherer als herkömmliche Add-ons und nicht anfällig für die besondere Attacke, die bei der Präsentation bei Black Hat Asia beschrieben wurde. Als Teil unserer Initiative Electrolysis – unser Projekt für die Einführung einer Multi-Prozess-Architektur für Firefox später in diesem Jahr – werden wir mit dem Sandboxing von Firefox-Erweiterungen beginnen, damit sie keinen Programmcode mehr teilen können.”
[mit Material von Bernd Kling, ZDNet.de]
Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.