Tilläggshanteringen i Firefox kan göra användarens dator mottaglig för attacker

Tilläggshanteringen i Firefox kan göra användarens dator mottaglig för attacker

En grupp forskare har hittat ett potentiellt säkerhetshål i Firefox som kan påverka miljoner användare, där skadlig kod kan leta sig in på datorn genom en brist i tilläggshanteringen.

Tillägg till webbläsare har blivit allt mer populärt och något som många använder sig av dagligen. En rapport från det amerikanska universitetet Northeastern University visar dock att dessa kan vara en säkerhetsrisk för Firefox-användare.

Den säkerhetsrisk som upptäckts har sin grund i hur Firefox hanterar tillägg till webbläsaren, där många av dessa inte är isolerade från varandra och därför kan utnyttja och exekvera kod genom andra installerade tillägg. Detta kan användas positivt, men öppnar även upp för skadliga tillägg att gå genom andra för att infektera användarens dator.

firefox_ext.PNG

I praktiken kan ett illasinnat tillägg passera genom Mozillas automatiserade granskningsprocess utan anmärkningar och godkännas för distribution. När detta väl är installerat har det sedan möjlighet att använda sig av kod från andra installerade tillägg för att ladda ner och exekvera skadlig kod.

Undersökningen visar att många av de populäraste Firefox-tilläggen påverkas av detta, där endast ett av tio klarade sig igenom testen felfritt. Forskarna som gjort testet påpekar dock att de inte är ute efter att svartmåla Mozilla, utan målet är istället att uppmärksamma potentiella säkerhetshål som kan utnyttjas i fel syfte.

De menar att en lösning på problemet skulle vara mer noggrann kontroll av inskickade tillägg och att man tittar efter denna typ av säkerhetshål vid utvärderingen. De har även utvecklat en applikation de kallar för Crossfire, som automatiserar denna koll, vilken skulle kunna implementeras som en del av granskningsprocessen.

Kommentarer till artikeln

35 debattinlägg

Skicka en rättelse
8

Out of the box av "BjK"

Medlemmen "BjK" visar sitt senaste bygge Out of the box, med ett egentillverkat chassi av akrylplast. Läs mer

5

AT&T: "Hotspot-enheter blir först ut med 5G"

Enligt mobiloperatören AT&T blir de första produkterna med 5G-nätverk inte smarta telefoner, utan tekniken kommer först implementeras i mobila hotspot-enheter. Läs mer

41

Samsung avtäcker SSD-enhet med 30 TB lagringsutrymme

Samsung presenterar nu sitt senaste tillskott i lagringssegmentet, vars 30 TB lagringsutrymme gör den till den största av sitt slag. Läs mer

26

Forumet: Hur påverkar GDPR din arbetsplats?

EU:s dataskyddsförordning GDPR träder i kraft den 25 maj och innebär en hel del förändringar i hur personuppgifter lagras och stärker individens rättigheter. Hur kommer dataskyddsreformen implementeras på ditt jobb? Läs mer

31

AMD ger processorer och grafikkort stöd för att strömma video i 4K och HDR under 2018

Senare under året får processorer och grafikkort från AMD stöd för att strömma video i 4K och HDR via Netflix, något som i dagsläget endast är möjligt med hårdvara från Intel och Nvidia. Läs mer

59

Google avslöjar säkerhetshål i Microsoft Edge

Googles Project Zero går nu ut med information om ett nytt säkerhetshål i webbläsaren Edge. Microsoft har meddelat att sårbarheten kommer åtgärdas i en kommande uppdatering. Läs mer

105

Forumet: Tips på spel att spela på jobbet

Har du några bra tips på spela att spela när man har lite tid att döda på jobbet? Gå med i forumdiskussionen och dela med dig! Läs mer

52

Centerpartiet vill införa hemvärn mot cyberattacker

För att öka beredskapen mot cyberattacker vill Centerpartiet införa ett cyberhemvärn, där experter och it-kunniga ska kunna hjälpa till och dela med sig av kunskap vid behov. Läs mer

23

Nightdive Studios pausar utvecklingen av System Shock

Nytolkningen av System Shock skjuts nu upp ytterligare, och denna gång på obestämd tid. Detta då ambitionen och budgeten växt och utvecklarna behöver tid för att omvärdera arbetet. Läs mer

21

Theme Hospital-inspirerade Two Point Hospital visas i nytt videoklipp

Tidigare under året avtäcktes Two Point Hospital, som är en tematisk uppföljare till Theme Hospital. I ett nytt videoklipp ger nu utvecklarna en första titt på spelet. Läs mer

127

Coop säger upp avtalet med Postnord

Importavgifter och sena leveranser har stått på tapeten för Postnord på sistone. Nu kan ett avslutat avtal med Coop adderas till listan, då matkedjan anser att ersättningen är för låg. Läs mer

47

AMD skickar ut processorer gratis för UEFI-uppdatering

Nylanserade Raven Ridge för stationärt bruk är kompatibel med sockel AM4, men många moderkort kräver en uppdatering. AMD bidrar med processorer för flashningen. Läs mer