Des chercheurs en sécurité viennent de dévoiler une faille touchant la majorité des extensions Firefox.
Souvent très pratiques, les
extensions Firefox sont plébiscitées par les usagers. Mais elles peuvent également être source de vulnérabilité. Une faille permettant à une extension malveillante de se servir des autres extensions installées sur le navigateur de
Mozilla pour pirater l'ordinateur de l'utilisateur vient d'être dévoilée par deux experts en sécurité lors de la conférence Black Hat Asia 2016.
Cette faille, dénommée «
Extension-reuse vulnerability », permet ainsi à une extension malveillante de télécharger un fichier, d'accéder au disque sur de l'ordinateur, ou encore d'ouvrir une page Web en utilisant en douce les fonctionnalités des autres extensions. Une vulnérabilité qui provient de la structure même des extensions Firefox, très proches les unes des autres une fois installées sur le navigateur, ainsi que de la technologie sous-jacente XPCOM, très permissive. Les extensions ont beau être systématiquement analysées par Mozilla avant d'être mises à disposition des utilisateurs, les
add-ons malveillants exploitant cette faille passent totalement inaperçus lors de ces contrôles. La raison ? Ils n'intègrent pas de code sensible, dont ils n'ont pas besoin pour mener à bien leur attaque, et apparaissent comme des extensions totalement inoffensives aux yeux de Mozilla. Cette faille est d'autant plus préoccupante que la plupart des extensions Firefox sont concernées. Ainsi, dans le Top 10 des add-ons les plus téléchargés, seul « AdBlock Plus » n'est pas touché. Certaines extensions, comme « Web of Trust » et « VideoDownloadHelper », contiennent plusieurs dizaines de fonctionnalités pouvant être exploitées par un add-on malveillant.
Aucun patch n'est disponible pour corriger ce problème. Un nouveau modèle d'extensions plus sécurisé -
WebExtensions - est actuellement en version alpha, mais en attendant son arrivée, il convient de ne télécharger aucun add-on dont l'auteur n'est pas connu.