Tilläggshanteringen i Firefox kan göra användarens dator mottaglig för attacker

Tilläggshanteringen i Firefox kan göra användarens dator mottaglig för attacker

En grupp forskare har hittat ett potentiellt säkerhetshål i Firefox som kan påverka miljoner användare, där skadlig kod kan leta sig in på datorn genom en brist i tilläggshanteringen.

Tillägg till webbläsare har blivit allt mer populärt och något som många använder sig av dagligen. En rapport från det amerikanska universitetet Northeastern University visar dock att dessa kan vara en säkerhetsrisk för Firefox-användare.

Den säkerhetsrisk som upptäckts har sin grund i hur Firefox hanterar tillägg till webbläsaren, där många av dessa inte är isolerade från varandra och därför kan utnyttja och exekvera kod genom andra installerade tillägg. Detta kan användas positivt, men öppnar även upp för skadliga tillägg att gå genom andra för att infektera användarens dator.

firefox_ext.PNG

I praktiken kan ett illasinnat tillägg passera genom Mozillas automatiserade granskningsprocess utan anmärkningar och godkännas för distribution. När detta väl är installerat har det sedan möjlighet att använda sig av kod från andra installerade tillägg för att ladda ner och exekvera skadlig kod.

Undersökningen visar att många av de populäraste Firefox-tilläggen påverkas av detta, där endast ett av tio klarade sig igenom testen felfritt. Forskarna som gjort testet påpekar dock att de inte är ute efter att svartmåla Mozilla, utan målet är istället att uppmärksamma potentiella säkerhetshål som kan utnyttjas i fel syfte.

De menar att en lösning på problemet skulle vara mer noggrann kontroll av inskickade tillägg och att man tittar efter denna typ av säkerhetshål vid utvärderingen. De har även utvecklat en applikation de kallar för Crossfire, som automatiserar denna koll, vilken skulle kunna implementeras som en del av granskningsprocessen.

Kommentarer till artikeln

35 debattinlägg

Skicka en rättelse
5

Corsair släpper uppdaterade varianter av tangentborden K70 RGB och Strafe RGB

Amerikanska Corsair uppdaterar nu tangentborden K70 RGB och Strafe RGB och adderar ändelsen "Mk.2". Bland nyheterna återfinns flera Cherry MX-brytare och stöd för mjukvaran ICUE. Läs mer

6

Alphacool Eissturm är vattenkylningspaket med expansionsmöjligheter

Slutna vattenkylare är numera vardagsmat och Alphacool lanserar en serie vattenkylningspaket, för att också ta egenbyggd vattenkylning till den breda massan. Läs mer

36

Rösta fram snyggaste RGB-bygget i Phanteks tävling

Passa på att rösta i finalen av Phanteks RGB-inspirerade, där det vinnande bidraget belönas med ett presentkort på 5 000 kronor hos Webhallen. Läs mer

148

Forumet: Annonsfritt Youtube med Youtube Premium

Youtube har nu lanserat betaltjänsten Youtube Premium, där de erbjuder annonsfri tittning och möjligheten att titta offline för 119 kronor per månad. Är det något för dig? Gå in i tråden och diskutera! Läs mer

169

Test: Intel Core i7-2600K och AMD FX-8150 mot 2018 års processorer

För sju år sedan lanserades Intel arkitekturer Sandy Bridge och AMD Bulldozer. Hur står de sig idag och räcker verkligen Intels Core i7-2600K för spel idag med ett modernt grafikkort? Läs mer

14

Fredagspanelen 157: Kärnornas krig och de nya upphovsrättslagarna från EU

Den regniga midsommarhelgen är ett perfekt tillfälle att sitta inne och glo på senaste Fredagspanelen, denna gång om kommande monsterprocessorer och omdiskuterade EU-lagar. Läs mer

3

Produkterna du missade på Computex 2018

På stora hårdvarumässor blir det alltid ett antal nyheter som inte får någon direkt uppmärksamhet. Här är fyra videoreportage som merparten av SweClockers läsare missade. Läs mer

124

Minnestillverkare väntas dömas till höga böter för kartellbildning

Samsung, SK Hynix och Micron uppges med stor sannolikhet dömas till höga böter i Kina, då de bedrivit otillåten kartellverksamhet för att hålla uppe priserna på minnesmarknaden. Läs mer

83

Intels VD Brian Krzanich tvingas lämna sin post

Intel meddelar att VD:n Brian Krzanich avgår med omedelbar verkan, då han haft ett förhållande med en anställd på företaget. Läs mer

10

Mutant Year Zero: Road to Eden får ny trailer – släpps under 2018

Mutant Year Zero: Road to Eden visas i en ny trailer, vilken ger mer info om tre av huvudkaraktärerna samt bekräftar att lanseringen sker under 2018. Läs mer

27

Den nya upphovsrättslagen inom EU – det här händer nu

Den nya upphovsrättslagen Artikel 13 röstades nyligen igenom av Europaparlamentets juridiska utskott. Ännu har dock beslutet en bit kvar att gå innan det blir lag inom EU. Läs mer

98

Nvidias nästa generation Geforce försenas till följd av överskottslager av Pascal

Efter ett knappt år av bristvara på grafikkort har efterfrågan sjunkit rejält, vilket istället lett till stora överskott som tvingat Nvidia ta tillbaka 300 000 grafikkretsar. Läs mer