Problematické aktualizace některých doplňků pro Firefox

Christopher Soghoian ve svém blogu popsal způsob, jakým mohou být uživatelům nainstalovaných doplňků ve Firefoxu nabídnuty aktualizace se záškodným kódem. Způsob zneužití předpokládá, že aktualizační kanál, kterým Firefox pravidelně kontroluje aktualizace doplňků, je nezabezpečený tj. namísto zabezpečeného protokolu https:// je použit pouze http://. Celé je to tedy o tom, zda je komunikace odposlechnutelná či nikoliv. Pokud instalujete doplňky ze serveru Mozilla Add-ons, nemusíte se ničeho obávat, protože zde je komunikace zabezpečena. U jiných zdrojů tomu tak být nemusí, takže zde záleží na tom, jak zdroji doplňku důvěřujete a jakým způsobem má zabezpečen aktualizační kanál.

Christopher vyjmenoval některé doplňky, které jsou takto zneužitelné. Jedná se většinou o různé lišty a ne zrovna od malých hráčů:

• Google Toolbar
• Google Browser Sync
• Yahoo Toolbar
• Del.icio.us Extension
• Facebook Toolbar
• AOL Toolbar
• Ask.com Toolbar
• LinkedIn Browser Toolbar
• Netcraft Anti-Phishing Toolbar
• PhishTank SiteChecker

Proti uvedení v tomto seznamu se ohradila společnost Yahoo, jejíž rozšíření Del.icio.us je hostováno na Mozilla Add-ons a aktualizace jsou tudíž zabezpečeny. Na vše pak reagovala Window Snyder, bezpečnostní expertka Mozilla Corporation, která uvedla, že jsou zvažovány způsoby, jakým způsobem podobným věcem zamezit na úrovni Firefoxu a jak vylepšit aktualizační mechanismus Firefoxu 3.0.

Přečtěte si také:

• Uvolněn Firefox 2.0.0.4 a 1.5.0.12
• Nová správa pádů ve Firefoxu 3.0 Alfa 5

Komentáře

1. v6ak
Ono stačí zabránit úpravám, ať to odposlouchává kdo chce... Stačí jen podpis.

BTW: Používání nezabezpečené komunikace je jedním z nejčastěji přehlížených problémů

Přidat komentář

K tomuto příspěvku není možné přidávat další komentáře.