安全研究人员发现,NoScript、Firebug、Video DownloadHelper、Greasemonkey和FlashGot Mass Down 等最流行的Firefox扩展( Adblock Plus除外)都包含了可利用的漏洞,允许攻击者开发的扩展通过调用其它扩展的功能而隐藏其恶意行为,降低被发现的几率。漏洞与Firefox的扩展架构未能隔离扩展有关,它让所有 JavaScript扩展共享相同的 JavaScript命名空间,共享的命名空间让其它扩展能读写其它扩展定义的全局变量,调用或覆写其它全局函数,修改实例化对象。研究人员称,攻击者可以诱骗用户安装恶意扩展,然后恶意扩展可以通过调用浏览器安装的其它流行扩展去窃取cookies,控制或访问文件系统,或打开攻击者选择的网址。研究人员开发的概念验证原型还通过了Mozilla的审核。Firefox产品副总裁在一份声明中表示,它的新扩展API WebExtensions提供了更好的安全功能。

4 收藏


直接登录

推荐关注