Tilläggshanteringen i Firefox kan göra användarens dator mottaglig för attacker

Tilläggshanteringen i Firefox kan göra användarens dator mottaglig för attacker

En grupp forskare har hittat ett potentiellt säkerhetshål i Firefox som kan påverka miljoner användare, där skadlig kod kan leta sig in på datorn genom en brist i tilläggshanteringen.

Tillägg till webbläsare har blivit allt mer populärt och något som många använder sig av dagligen. En rapport från det amerikanska universitetet Northeastern University visar dock att dessa kan vara en säkerhetsrisk för Firefox-användare.

Den säkerhetsrisk som upptäckts har sin grund i hur Firefox hanterar tillägg till webbläsaren, där många av dessa inte är isolerade från varandra och därför kan utnyttja och exekvera kod genom andra installerade tillägg. Detta kan användas positivt, men öppnar även upp för skadliga tillägg att gå genom andra för att infektera användarens dator.

firefox_ext.PNG

I praktiken kan ett illasinnat tillägg passera genom Mozillas automatiserade granskningsprocess utan anmärkningar och godkännas för distribution. När detta väl är installerat har det sedan möjlighet att använda sig av kod från andra installerade tillägg för att ladda ner och exekvera skadlig kod.

Undersökningen visar att många av de populäraste Firefox-tilläggen påverkas av detta, där endast ett av tio klarade sig igenom testen felfritt. Forskarna som gjort testet påpekar dock att de inte är ute efter att svartmåla Mozilla, utan målet är istället att uppmärksamma potentiella säkerhetshål som kan utnyttjas i fel syfte.

De menar att en lösning på problemet skulle vara mer noggrann kontroll av inskickade tillägg och att man tittar efter denna typ av säkerhetshål vid utvärderingen. De har även utvecklat en applikation de kallar för Crossfire, som automatiserar denna koll, vilken skulle kunna implementeras som en del av granskningsprocessen.

Kommentarer till artikeln

35 debattinlägg

Skicka en rättelse
6

Fredagspanelen 126: Oculus Touch, AMD Crimson ReLive och Fitbit förvärvar Pebble

Jonas och Kenneth rasar över uteblivna smarta klockor, snackar nya drivrutiner och blir påtvingade ett grandiost julpynt i veckans avsnitt av fredagspanelen. Läs mer

12

Julstämning med Bluetooth-styrd ljusstake

Till julen hör ljusstakar och slingor i alla tänkbara tappningar. Medlemmen Sennaho skruvar upp konceptet genom att introducera styrning via Bluetooth. Läs mer

21

The Division får DirectX 12-stöd nästa vecka

I och med nästa uppdatering av svenska Massives The Division introduceras stöd för grafikgränssnittet DirectX 12, vilket ska medföra bättre prestanda i högre upplösningar. Läs mer

13

Google, Oculus och HTC med flera går samman för att bilda VR-förening

För att främja utveckling och innovation inom virtuell verklighet går flera stora aktörer samman och bildar Global Virtual Reality Association, ett samarbete som ska forma framtiden för VR. Läs mer

20

Bitfenix avtäcker Shogun – chassi med dubbla paneler av härdat glas

Dubbla paneler av härdat glas, gedigen konstruktion och plats för en uppsjö av hårddiskar. Dessa är några av paradnumren för Bitfenix senaste flaggskeppschassi Shogun. Läs mer

Tangentbordet Logitech G610 Orion Red och spännande tävling bakom nionde luckan

  • idag 12:00

Bakom lucka nio i Geeks Julkalender döljer sig både ett fint erbjudande på tangentbordet G610 Orion Red från Logitech, och en tävling där du kan vinna tangentbordet, spelmus och andra tillbehör. Läs mer

23

SweClockers logotyp pyntad för jul!

Nio stilfulla jullogotyper gick till final och efter att medlemmarna fått säga sitt är det ett bidrag som med bred marginal kammat hem segern, och får sprida julstämning på SweClockers. Läs mer

12

Spelare bygger fungerande Atari 2600-emulator i Minecraft

Youtube-användaren SethBling visar i ett nytt videoklipp på de stora möjligheterna i Minecraft, med en Atari 2600-emulator skapad direkt i spelet. Läs mer

10

Testpilot: Cooler Master Mastermouse Pro L

Cooler Masters modulära mus Mastermouse Pro L passar både vänster- och högerhänta samt olika greppstilar. Testpiloten Niklas Huhtala sätter tänderna i modellen och ser vad den går för. Läs mer

58

Microsoft samarbetar med Qualcomm för att ta Windows 10 till ARM-processorer

I ett något oväntat drag meddelar nu Microsoft att Windows 10 i framtiden kommer kunna köras på ARM-processorer, med stöd för samtliga Windows-applikationer och spel. Läs mer

58

AMD introducerar Radeon Software Crimson ReLive

Ett år efter introduktionen av mjukvarusviten Radeon Software Crimson har det blivit dags för nästa inkarnation, där en av de stora nyheterna är en hårdvaruaccelererad inspelningsfunktion. Läs mer

47

Bethesda plockar bort kopieringskyddet Denuvo i Doom

Utvecklaren Bethesda blir nu den andra som på kort tid gör sig av med kopieringsskyddet Denuvo, efter Playdeads Inside. Anledningen tros vara att skyddet kringgicks kort efter lanseringen. Läs mer