Firefox : une vulnérabilité touche les extensions les plus populaires

Selon une équipe d'experts en sécurité, plusieurs extensions, dont Firebug ou NoScript, présentent des vulnérabilités permettant à un tiers d'exécuter du code malveillant ou de récupérer des données sensibles.

Sur Firefox, toutes les extensions ne bénéficient pas d'un isolement complet en mode sandbox. En effet, il est possible à un hackeur de concevoir son propre add-on dissimulant une attaque faisant elle-même appel à une fonctionnalité d'autres extensions sur le navigateur précédemment installées.

A l'occasion du sommet Black Hat qui s'est tenu à Singapour, une équipe explique que neuf des dix extensions les plus populaires sont concernées. Selon Ars Technica, qui rapporte l'information, nous retrouvons, notamment : Video DownloadHelper, Firebug, NoScript, GreaseMonkey ou encore Web of Trust.


Puisque ces extensions malicieuses s'appuient sur d'autres add-ons de confiance, elles sont donc plus difficiles à détecter. Le hackeur est en mesure de récupérer des cookies, d'accéder et de contrôler le système de fichiers, ou encore d'ouvrir certaines pages Web.

035C000008405686-photo-firefox-add-ons.jpg

Toutefois, pour infecter une machine le processus n'est pas évident. Il faudra d'abord s'assurer que la victime a non seulement installé l'extension frauduleuse mais aussi suffisamment de modules vulnérables pour orchestrer une attaque.

Reste à savoir si Mozilla saura rectifier le tir, notamment en obligeant les éditeurs à corriger leurs add-ons respectifs.
Modifié le 01/06/2018 à 15h36
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
0
0

Actualités récentes

Pour contrer Apple Music, Amazon Music HD est désormais disponible pour les abonnés Amazon Music Unlimited
Bon prix sur ce pack clavier + souris sans fil Logitech MK470 chez Amazon
Netatmo : la sonnette vidéo intelligente désormais compatible avec les principaux assistants vocaux
Mass Effect Édition Légendaire pourrait se doter tôt ou tard d’un mode multijoueur
L'Allemagne pourrait interdire Google de commercialiser ses enceintes connectées et Youtube Music
Sharp signe le premier smartphone équipé d'un capteur photo de 1 pouce
Microsoft porterait l'interface de Windows 10X sur Windows 10 Sun Valley
Dernières heures pour profiter de l'offre pCloud pour famille (1050€  d'économies )
Les Français, encore (trop) peu familiers avec le jargon de la cybersécurité
Metal Slug Code : J, du gameplay pour ce tout nouvel épisode iOS et Android
Haut de page