Firefox à beaucoup aider à développer les extension. Ces petits compléments qui viennent ajouter des fonctionnalité à votre navigateur. Blocage de pub, prise de note, stockage de mots de passe... Beaucoup d'entre nous les utilisent couramment. Le modèle utilisé par Firefox se nomme XPCOM, pour Cross Platform Component Object Model. C'est lui qui va définir les règles, les capacités et les limites des extensions. Le problème c'est qu'une faille à été découverte dans le XPOCM. Elle permet aux extensions d'appeler les fonctionnalités d'une autre, ce qui n'était pas prévu.

Quatre chercheurs on présentés leurs travaux durant la conférence Black Hat Asia. Ils ont démontré que les extensions pouvaient en effet faire appel à des fonctionnalités précises dans d’autres pour servir de sombres desseins. Une extension peut prévoir de tels mécanismes, sans les incorporer elle-même. Conséquence, elle passe tous les tests de validation, dont ceux de sécurité. La faille à été baptisée "Extension-reuse vulnerability" par les chercheurs. Ces derniers on put mettre en ligne une application nommée "ValidateThisWebsite " son but premier était de valider des sites web sur leurs fiabilité. Mais elle contient également un appelle à l'application NOScript, dont elle se sert pour ouvrir des onglets sur une URL précise. De la, on comprend l'ampleur du problème. En effet, un utilisateur peut télécharger une extension inconnue, depuis une source inconnue et se retrouver avec le téléchargement d'un malware sur sa machine.

Les chercheurs indiquent: « Les extensions peuvent souvent accéder à des informations privées de navigation telles que les cookies, l’historique et les mots de passe, et même des ressources système. Par exemple, Firefox expose une API riche à ses extensions à travers XPCOM qui permet un accès presque illimité aux ressources système sensibles, comme le système de fichiers et le réseau. En conséquence, les extensions malveillantes, ou les attaques dirigées contre les extensions légitimes, posent un risque significatif de sécurité pour les utilisateurs. »

Tout les grands noms sont touchés hormis AdBlock. Sinon, on peut cité NoScript, VidéoDownloadHelper, WOT... Mozilla est au courant et Nick Nguyen, le vice-président déclare: « La manière dont les extensions sont implémentées dans Firefox aujourd’hui permet le scénario présenté à la Black Hat Asia ». Il ajoute qu'une nouvelle infrastructure arriverait dans l'année, permettant d'isoler les extension, et ainsi, éviter le problème. Affaire à suivre.

Je vous laisse avec le rapport des chercheurs: http://www.buyukkayhan.com/publicati...6crossfire.pdf



Source: nextinpact