Mauvaise nouvelle pour les adeptes du navigateur Firefox. Une faille présente dans un grand nombre d’extensions engendre une vulnérabilité à un nouveau type d’attaque.
Point fort de Firefox, les extensions sont appréciées de beaucoup. Le hic, c’est qu’elles utilisent Cross Platform Component Object Model (XPCOM) qui s’avère trop permissif, autorisant des fonctionnalités de certaines applications utilisées par d’autres.
C’est ce qu’ont mis à jour 4 chercheurs de l’université Northeastern dévoilant leur découverte lors de la conférence Black Hat Asia.
La vulnérabilité en question est appelée « Extension-reuse vulnerability » : elle permet à des pirates de dérober des informations personnelles. Il suffit pour cela que l’utilisateur installer une extension non fiable ou jugée fiable mais en provenance d’une source douteuse, non vérifiée.
« Les pirates peuvent concevoir une extension qui semble inoffensive à n’importe qui regardant le plug-in de plus près. Mais une fois intégrée au navigateur Firefox, l’extension qui paraissait anodine pourrait exploiter facilement une seconde extension Firefox afin d’implanter un malware sur l’ordinateur de l’utilisateur. »
« Les extensions peuvent souvent avoir accès à des données privées de navigation comme les cookies, l’historique ou les mots de passe enregistrés, mais aussi à des ressources de l’ensemble du système ».
Si l’on considère les 2000 extensions les plus populaires de Firefox, 3000 fonctionnalités peuvent être utilisées dans le cadre de l’Extension-reuse vulnerability. Dans le Top 10, seul Adblock Plus ne serait pas touché.
Pour l’instant, il est conseillé de télécharger et installer uniquement des extensions dont on est sûr. Nick Nguyen, vice-président de la stratégie produit Firefox, a déclaré à ThreatPost que le navigateur bénéficierait d’une nouvelle infrastructure isolant beaucoup mieux les extensions entre elles, ce qui empêcherait ce type de vulnérabilité, et ce avec les WebExtensions.
[Source : ThreatPost]
