Les extensions dans Firefox peuvent devenir le vecteur d'attaques malveillantes

Si vous pensiez que les extensions (Add-ons) de Firefox rendent votre navigation en ligne beaucoup plus facile, vous n'êtes pas dans le faux, mais il y a un certain risque avec ces extensions. Prenant la parole lors de la conférence de sécurité Black Hat Asie 2016 à Singapour, deux chercheurs américains ont expliqué comment les extensions connues de Firefox peuvent être utilisés par d'autres extensions (malveillantes) pour mener des attaques contre les utilisateurs du navigateur.

The Register signale que ces extensions sont ouvertes à des attaques qui peuvent tranquillement passer des tests de sécurité automatisés et les droits de Mozilla afin de compromettre les machines.

Ph.D. Ahmet Buyukkayhan de la Boston University et le Professeur William Robertson de Northeastern University ont démontré (PDF en bas de page) comment "Extension-reuse" (nom donné à la vulnérabilité) peut être exploité par les pirates pour installer des logiciels malveillants sur les ordinateurs des utilisateurs. Les deux chercheurs qui ont étudié la vulnérabilité pendant deux ans par la création d'extensions malveillantes qui utilisent le mécanisme "d'Extension-reuse" ont dit avoir fait des appels malveillants vers d'autres extensions, qui ensuite les transmettre au système sous-jacent.

Les chercheurs ont expliqué que, la totalité des demandes faites par les extensions dans le navigateur Firefox sont traités avec des privilèges élevés, une fois que les pirates ont exploité la prolongation, ils peuvent avoir l'ensemble du navigateur à leur disposition. Pire encore, une de ces extensions malveillantes peut facilement passer par le processus d'examen de Mozilla, toutes les extensions doivent passer par ce processus pour être ajouté à leur portail add-on.

Le système de sécurité de Firefox ne peut pas se concentrer sur l'extension malveillante, car Firefox ne fait pas d'appels dangereux pour les parties intérieures les plus sensibles, ont noté les chercheurs.

Grâce à ce scénario d'attaque, les chercheurs ont réussi à exploiter des add-ons populaires de Firefox pour mener des actions malveillantes. Dans leurs tests, ils ont utilisé les add-ons très populaire tels que GreaseMonkey add-on (1,5 millions d'installations actives), Video DownloadHelper (6,5 millions d'installations actives), et NoScript (2,5 millions d'installations actives).

Les chercheurs ont présenté leur exploit en réalisant une expérience en direct à la conférence. L'expérience a été effectuée en utilisant une extension de test, appelé ValidateThisWebsite, qui ne contenait que 50 lignes de code et a été laissé sans obfuscation pour un accès facile à son code source. L'examinateur de Mozilla a approuvé l'extension sans drapeaux rouges.

Mozilla a déclaré que les conclusions des chercheurs étaient de nature hypothétique.

"La façon dont les add-ons sont mises en œuvre dans Firefox aujourd'hui tient compte du scénario hypothétique qui a été présenté au Black Hat Asie. La méthode décrite repose sur l'installation d'un add-on populaire qui est vulnérable, puis pour l'add-on qui tire parti de cette vulnérabilité à être également installé ", explique Nick Nguyen, vice-président de produit pour Firefox.

"Parce que les risques tels que celui-ci existe, nous évoluons à la fois notre produit de base et notre plate-forme d'extensions pour construire une plus grande sécurité. La nouvelle série d'API d'extension du navigateur qui composent des extensions Web, qui sont disponibles dans Firefox aujourd'hui, sont intrinsèquement plus sûr que des add-ons traditionnelles, et ne sont pas vulnérables à l'attaque particulière exposée dans la présentation au Black Hat Asie. Dans le cadre de notre initiative Electrolysis - notre projet d'introduire une architecture multi-processus pour Firefox plus tard cette année - nous allons déployer une Sandbox pour les extensions dans Firefox afin que le code ne puisse pas être partagé."

Source: Techworm

Comments

[paschalis]

ALERTE: Vulnérabilité Adobe Flash Player: Adobe Flash Player contient une vulnérabilité qui pourrait permettre à un attaquant distant non authentifié d'exécuter du code arbitraire. Une vulnérabilité dans Adobe Flash Player pourrait permettre, un attaquant distant non authentifié d'exécuter du code arbitraire. La vulnérabilité est due à des opérations de mémoire inappropriées effectuées par le logiciel concerné. Un attaquant pourrait exploiter cette vulnérabilité en persuadant un utilisateur d'ouvrir une page Web qui contient un contenu conçu flash. Une exploitation réussie pourrait déclencher une condition d' utilisation ultérieure sans que l'attaquant pourrait utiliser pour exécuter du code arbitraire sur un système cible. Adobe a confirmé la vulnérabilité dans un bulletin de sécurité et les mises à jour logicielles publiées.Un non authentifié, attaquant distant pourrait exploiter cette vulnérabilité pour exécuter du code arbitraire sur un système ciblé avec les privilèges de l'utilisateur. Si l'utilisateur a élevé des privilèges, l'attaquant pourrait prendre le contrôle complet du système. incroyable mais vrai.Un non authentifié, attaquant distant pourrait exploiter cette vulnérabilité pour exécuter du code arbitraire sur un système ciblé avec les privilèges de l'utilisateur. Si l'utilisateur a élevé des privilèges, l'attaquant pourrait prendre le contrôle complet du système.Un non authentifié, attaquant distant pourrait exploiter cette vulnérabilité pour exécuter du code arbitraire sur un système ciblé avec les privilèges de l'utilisateur. Si l'utilisateur a élevé des privilèges, l'attaquant pourrait prendre le contrôle complet du système.https://tools.cisco.com/security/center/viewAlert.x?alertId=46470

[paschalis]

je suis tombé sur cette vidéo mais je ne suis pas d'accord sur certaines choses surtout le VPN qu'il propose et qui est une grosse embrouille car je les testé pas fiable vis à vis du DNS grosse fuite et ce VPN se déconnecte sans arrêt F-Secure Freedome VPN (pour être in traçable et anonyme sur internet) Sécuriser ses données mieux que la NSA: https://www.youtube.com/watch?v=FmLUYV0eB1U je pense qu'il a exagéré concernant la sécurité de nos pc.

[paschalis]

firefox 48 ne vous protègent aucunement de votre vie privée le mode de navigation privée de firefox est une arnaque je vais te dire pourquoi en navigation privée l'historique ne devrait aucunement apparaitre et ce n'est pas le cas l'historique apparait tout le temps ce qui veut dire que firefox sont des menteurs ils portent pas la marque de Satan pour rien sur leur navigateur ces gens la travaillent ensemble avec Google et Microsoft pour mieux nous surveiller car toutes leurs fonctions sont fictif car je teste leurs fonctionnalités et c'est une grosse arnaque de leur part. le mode de sécurité ne sert à rien le mode général du démarrage sert à rien même décocher ça change rien du tout.je voulais te le signaler car je les teste depuis un bon moment. tu savais que Google ont un compte en banque avec comme numéro de compte bancaire les trois 666. ils sont tous satanique ces enfoirés qu'ils sont.

[paschalis]

bonjour une nouvelle à t'annoncer concernant firefox 48 j'ai testé le logiciel et j'ai remarqué que les fonctions de sécurité ne servent à rien du tout que tu les coches ou pas ça ne change rien du tout est fictif prévenir lorsque les sites essaient d'installer des modules complémentaires plus bloquer les contenus dangereux ou trompeurs plus bloquer les téléchargements dangereux plus me signaler la présence de logiciels indésirables ou peu communs servent strictement à rien car je me suis amusé à tout décocher pendant une semaine en allant sur plein de sites dangereux en ayant tout décoché je n'est eu aucun problème pas d'attaques surprise la plupart des fonctionnalités de Firefox servent à rien en les cochant.

[paschalis]

et concernant les extensions je te conseille aussi cette extension qui est très bien http://www.stardrifter.org/refcontrol/ et éviter de prendre Linux Ubuntu 16.04 touché par une sérieuse faille de confidentialité.je te met quelques références qui pourront vous aider. http://www.tutoriaux-excalibur.com/mouchards-w7/838-comment-desactiver-les-mouchards-de-windows-7-8-1-et-10-a.html plus http://www.tutoriaux-excalibur.com/telemetrie-w10/2543-desactiver-la-telemetrie-de-windows-7-8-1-10-office-2013-et-2016-a.html plus http://www.tutoriaux-excalibur.com/telemetrie-w7/605-supprimer-les-mises-jour-de-la-telemetrie-sous-windows-7-et-8-1-a.html plus http://www.tutoriaux-excalibur.com/telemetrie-w10/3500-comparatifs-des-outils-anti-telemetrie-pour-windows-10-a.html plus et éviter Windows 10 je vous le conseille vivement. ce site est une mine d'or pour faire le ménage sur votre pc. moi je suis sur Windows 7 et je n'irais pas ailleurs.Afin de mieux approfondir mes connaissances sur la télémétrie de Windows 10 et d’établir une liste de renseignements personnels qui sont recueillis par Windows 10, un spécialiste en réseautique a installé Windows 10 entreprise sur un ordinateur afin de pouvoir récolter des informations.<br /> <br /> Suite à l’installation, tous les modules et services de télémétrie connus ont été désactivés.<br /> <br /> Puis il configuré son routeur et son pare-feu pour enregistrer toutes les connexions qui ont eu lieu au cours de la période de tests.<br /> Même après tous les blocages et les désactivations possibles, le pare-feu de Windows et le routeur ont réussis à enregistrer plus de 4,000 tentatives de connexion à 93 adresses IP différentes au cours de la période de tests qui a durée approximativement 8 heures.<br /> <br /> Avec stupéfaction, l’ensemble des adresses IP recueillies par le pare-feu et le routeur appartiennent toutes à Microsoft.<br /> <br /> Même si la télémétrie est entièrement désactivée, la version entreprise de Windows 10 continue de communiquer avec les serveurs de la firme Redmond et ce même lorsque vous l’interdisez, imaginez donc la version Home et Pro !<br /> <br /> Pour l’instant je n’ai pas la liste des adresses IP en ma possession mais dès que je l’aurai, elles seront ajoutées au prochain fichier hosts.<br /> <br /> Reste à savoir si les versions Home et Pro utilisent les mêmes IP que la version Entreprise.

[paschalis]

bonjour merci j'étais au courant pour flash player mais je pense que tu est au courant concernant la télémétrie se trouvant dans certaines mises à jour qu'il faut éviter d'installer sur le pc je pense aussi que tu connais spybot anti beacon qui bloque certaines télémétrie mais pas toute sans compter les dizaines de mouchard implantés dans le pc de windows faut éliminer task qui est dangereux et j'ai testé ce fameux antivirus nod32 qui est une passoire à virus une simple application que je connais ma supprimer des virus heuristique que nod32 ne détecte aucunement essaye cette application qui est très fiable zhpcleaner. sinon concernant les vpn le seul qui est à peu prés fiable car je les est tous testé les vpn payant est Cryptostorm car ce vpn ne demande aucune coordonnés personnel et c'est bien le seul sur internet. évitez à tout prix les vpn gratuit car beaucoup pirate votre pc et ne sont aucunement fiable et prenez aussi peerblock qui est très utile pour bloquer les vicieux qui nous surveillent à notre insu.

[nicko]

Bonjour, merci pour ses informations qui serviront aux lecteurs du blog et aussi à moi. :-)

[paschalis]

bonjour j'ai une question à te posé j'utilise firefox 47 en ce moment je le teste et voila ce que j'ai découvert d'hallucinant j'utilise une extension qui s’appelle random agent spoffer et quand je vais dans le menu reporting option je coche les cases disable safe browsing (google) plus disable safe browsing malware check (google) ça me désactive les 2 options de firefox 47 de bloquer les sites signalés comme étant des sites d'attaque plus bloquer les sites signalés comme étant des contrefaçons ???? en sachant que l'extension random agent spoffer est très fiable.peut tu me répondre à cela en plus firefox 47 fait des bugs énormes d'ailleurs tout les fierfox que j'ai testé bug sans arrêt.

[nicko]

Bonjour paschalis, selon la documentation trouvée sur le support Mozilla (https://support.mozilla.org/fr/kb/comment-fonctionne-protection-contre-hame%C3%A7onnage-et-logiciels-malveillants) et dans la FAQ de Google (http://www.google.com/intl/fr/policies/privacy/), lorsqu'on essaye de visiter un site annoncé comme dangereux, Mozilla peut communiquer avec ses partenaires (dont Google) les informations relevées lors de la détection de la visite du site dit dangereux, et comme dans ses données, il peut être fournis l'adresse IP mais pas que. Je pense que la désactivation de ses services et pour une meilleure garantie d’anonymisation. Car comme il est écrit dans la FAQ de Google « nous sommes susceptibles de collecter et traiter des données relatives à votre position exacte. Nous utilisons différentes technologies pour vous localiser, y compris l'adresse IP, les signaux GPS et d'autres capteurs nous permettant notamment d'identifier les appareils, les points d'accès WiFi et les antennes-relais se trouvant à proximité.» j'espère avoir pu répondre à tes questions. Concernant les bugs de Mozilla, je trouve aussi que depuis la version 36, il a tendance a planté souvent, ce qui est plutôt désagréable, mais ils finiront enfin j’espère à nous sortir une version fiable d'ici peu. (édit: au-cas où, ne jamais avoir Fash Player d'activé, si l'on veut rester anonyme ;-) )