NoScript, Firebug, y otras extensiones populares exponen a sus millones de usuarios a un nuevo tipo de ataque que puede ejecutar código malicioso y robar información sensible. Al contrario que otros navegadores, Firefox no aisla las funciones de los add-ons, por lo que un add-on puede invocar a las funciones de otros que se encuentren instalados. De esta forma, en lugar de cargar el código malicioso desde una página infectada es posible efectuar un ataque utilizando el código vulnerable de extensiones ya presentes.
Comentarios
#4 no lo veo así:
1) Si instalas un Addon malintencionado, podrá hacer las perrerias que le parezca, que para eso has confiado en el addon que sea.
2) Si intenta llevarte a webs o cargar scripts, y tienes Noscript, NoScript te salva el culo. Sin NoScript o similares, estás indefenso.
3) Si intenta cargar scripts y además es capaz de anular NoScript por culpa de Firefox, estás indefenso.
Es como si la noticia dijera que un antivirus "abre la posibilidad de un nuevo ataque" porque el usuario confiado en su antivirus ejecuta programas chungos y ante las alertas del antivirus le da a "permitir" a todo. El fallo, evidentemente, sería del usuario porque no está controlando adecuadamente, no del antivirus por hacerte confiado.
#5
1- ¿pero tú crees que alguien instala un addon malintencionado sabiendo que lo es? Todos los addons prometen o dan algo que el usuario sí quiere, y los malintencionados obviamente tienen para que no quieren.
2 - El problema es que ya no tiene que cargar ningún script porque el código que necesita y que pasa desapercibido se lo da el propio NoScript. Por eso es un nuevo tipo de ataque.
3 - Ver 2. No necesita cargar nada externo para hacer daño, con lo que ya se encuentra preinstalado es suficiente.
#8 "Malicious extensions that utilize this technique would be significantly more difficult to detect by current static or dynamic analysis techniques, or extension vetting procedures."
Lo que dice la noticia es que es más dificil de detectar que el otro addon sea malicioso. Sigo sin ver que se pueda culpar a otro addon de que firefox te deje ejecutar codigo de otros addons... y me parece malintencionado, valga la redundancia, señalar a NoScript, porque no tiene nada que ver cual sean esos otros addons de los que el malintencionado ejecuta funciones.
#13 Joder macho. A ver, el problema está en que desde un script se puede involcar a codigo de otro y contando con que este otro está presente en millones de firefox es muy fácil hacer un script muy daniño que pasa desapercibido y que además tiene muchísimos firefox vulnerables..Si no ves el problema pues nada, abandono... a ver si aparece un usuario con más capacidad de expresión que yo.
Suerte pensando que con NoScript nunca vas a tener problemas.
#5 Aquí el símil con el antivirus sería que un programa malicioso utiliza código del propio antivirus para hacer sus maldades. No es un tema de permisos, es un tema de que el propio antivirus está aportando código mediante un exploit.
#5 no entiendo muy bien porque es culpa de Firefox.
#23 imagínate que en windows instalas un programa que tu antivirus no detecta como maligno y luego ese programa empieza a usar librerías y recursos de otros programas para hacer perrerías en tu ordenador.
Usando el ejemplo anterior, la noticia diría que es muy difícil para los antivirus detectar este tipo de comportamientos porque windows (firefox) no controla de ninguna forma quien usa os recursos de otro programa.
Yo creo que los ultimos culpables serían esos programas que tienes instalados. No es su responsabilidad lo que otros programas hacen en tu equipo. La culpa, en todo caso, sería de firefox (windows en el ejemplo) por dejar alegremente a otros addons (programas) se líen a ejecutar funciones y codigo de otros addons.
Es como si tienes winrar en windows, instalas algo malicioso que se descomprime usando winrar y alguien escribe un articulo titulado "Winrar abre Windows a un nuevo ataque" explicando que es difícil para los antivirus detectar el código malicioso porque está comprimido, por ejemplo.
Otra cosa además que no me gusta de como se plantea la noticia y el titular es que no es la presencia de NoScript u otros addons lo que abre la puerta a nada, es que el usuario ha instalado un addon malicioso. Desde cuando es responsabilidad de NoScript u otros addons lo que tú instales en firefox?
La noticia debería decir algo como "Una vulnerabilidad en FIREFOX abre la puerta a un nuevo ataque".
#28 Según la noticia NoScript (y otros) tiene código "explotable" (me figuro que eso implica que también parcheable).
Ahora, que si Firefox tuviera aislamiento adecuado lo que hace un script no afectaría a otros, igual que pasa con los programas que corren en el S.O.
Eso no quita que además, si NoScript no fuera explotable el problema no sería tan grave.
#20 Parece que simplemente "es así", es decir, no se diseñó firefox pensando en este tema.
#21 si no hubiera uso legítimo, sería muy facil detectar cada vez que un addon intenta usar recursos de otro, no? Si resulta complicado entiendo que es porque a veces es legítimo y a veces no...
#26 Por eso hay parches para los SO todos los días. Los virus funcionan aprovechando fallos, pero son eso: fallos.
#27 ya pero eso lo controlan esos programas no el SO.
aquí no se si NOSCRIPT podría hacer algo o dependería forzosamente de una encapsulacion de los complementos por parte de Firefox(lo cual no se si sería posible tampoco).
#7 Bueno, puedes echarle la culpa al usuario por instalar cosas, lo cierto es que si yo instalo un script B que utiliza código del script A para hacer algo hay un problema de aislamiento, no sé que decir si no lo ves... el aislamiento de procesos y componentes algo básico en seguridad informática, lo que pasa es que hasta ahora los navegadores se han visto como programas individuales y están aislados (por el sistema operativo) como una única pieza.
Lo cierto es que permitiendo instalar extensiones separadas que vienen de distintos fabricantes los navegadores necesitan las mismas técnicas de seguridad que los sistemas operativos, al menos en lo que se refiere a separación de programas.
¿preferimos echarle la culpa al usuario por instalar cosas? Pues nada, seguiremos con los problemas eternamente.
#11 no, no... a firefox. Porque como bien dices, debería implementar las mismas técnicas de seguridad que los sistemas operativos, al menos en lo que se refiere a separación de programas.
Pero me parece erroneo culpar a esos otros programas de los que se aprovecha el addon malicioso, no crees? El responsable es firefox.
#14 Firefox es responsable de parte del problema. Del artículo:
Nine of the top 10 most popular Firefox add-ons contain exploitable vulnerabilities.
These vulnerabilities allow a seemingly innocuous extension to reuse security-critical functionality provided by other legitimate, benign extensions to stealthily launch confused deputy-style attacks
#16 Entonces esos addons (y el resto) no deberían tener funcionalidades que puedan ser reutilizadas por cualquier otro addon? o debería haber un control externo (firefox) que juzgue a quien se le permite ejecutar cada funcionalidad?
Pero no te tomes a mal mis comentarios, que no era mi intención molestarte
#17 No me tomo a mal los comentarios (sí el negativo, porque me parece que votar negativo antes del debate es de mal gusto, pero bueno, son manías mías).
Los comentarios de todo tipo me parece bien, si todo el mundo me diera la razón siempre me aburriría mucho.
Sobre tu pregunta... te respondo con otra pregunta que no es retórica, es que no lo sé: ¿hay en firefox add-ons cuya función sea dar servicio a otros, es decir, el uso de otros add-ons puede ser legítimo en algún caso? Y si es así, ¿estos add-ons de servicio deben tener algún mecanismo de seguridad o es barra libre?
#18 pues no lo sé, pero de la noticia se deduce que el hecho de que firefox permita el acceso de unos a otros no es accidental sino estructural, por lo que parece que si es legitimo en algunos casos interactuar con otros addons.
#10 Ese script malicioso NO será efectivo sin NoScript porque *necesita que NoScript esté instalado* ya que utiliza código de NoScript. Por favor lee la noticia...
#12 // Attacker chooses $url
noscriptBM.placesUtils.__ns.__global__.ns.
loadErrorPage(window[1], $url);
El script está en la extensión maliciosa, cierto. Me refiero que por si solo, un script se ejecutaria.
y una cosa estáis hablando como si el problema fuesen scripts que hay en la web. y el problema son extensiones.
es como si instalas un antivirus. instalas un virus y el virus modifica la funcionalidad del antivirus. La culpa es del so?
#24 evidentemente si permite a cualquier programa modificar o usar código de cualquier otro sí. El MS-DOS hace décadas que quedó atrás.
#25 bueno pero los navegadores no tienen usuarios.
no hay programas (virus)que manipulan el comportamiento de otros programas sin que el SO pueda hacer nada?
Ironico lo de NoScript...
#1 Sí... y los pocos meneos que lleva esta noticia que es una bomba... al final voy a tener que dejar firefox porque tiene millones de agujeros, incluso los scripts que cierran unos abren otros.
#2 es que es erronea...
La vulnerabilidad es de firefox, que permite interacciones entre diferentes addons, de manera que si tienes NoScript y crees que estás muy seguro pero tambien has instalado otros addon malintencionados, estos podrían burlar NoScript u otros addons.
Si instalas addons malintencionados puedes tener problemas, con o sin NoScript. Eso no hace que NoScript abra ninguna puerta. Otra cosa es que te confíes porque crees que te va a proteger y no pueda hacer nada por culpa de Firefox...
#3 No es errónea. Un script aparentemente inocuo puede convertirse en muy peligroso si está NoScript instalado.
Ese es el problema, que no se va a detectar el peligro únicamente mirando el código de un script, hay que tener en cuenta las interacciones con otros que probablemente estén instaldaos.
#4 no es Un script aparentemente inocuo el que puede interactuar con NoScript, sino otro addon que tú has instalado. Si has instalado ese addon, ya le has abierto la puerta. Hasta ahora, si tenías NoScript o similares, eran capaces de evitar parte de las actividades del otro addon (cargar urls o scripts). La noticia es que por culpa de firefox ni isquiera otros addons pueden ayudarte porque firefox permite al addon malicioso desactivar NoScript, por ejemplo.
No veo como permitir que un addon desactive a otro puede ser considerado un fallo del segundo, en lugar de un fallo del administrador de addons...
#4 Ese script malicioso, sera efectivo con o sin NoScript y sin filtros XSS en Internet Explorer.
#1 Para que el ataque sea efectivo, antes debes instalar un add-on malicioso (ValidateThisWebsite). No veo la vulnerabilidad en NoScript si antes has tenido que crear un BHO malicioso instalado en tu navegador que engaña al codigo de NoScript.
El paper de Ahmet Buyukkayhan & William Robertson presentado en la conferencia.:
https://www.internetsociety.org/sites/default/files/blogs-media/crossfire-analysis-firefox-extension-reuse-vulnerabilities.pdf