Une extension malicieuse et une autre extension avec une sérieuse vulnérabilité de sécurité ont été découvertes récemment sur le site Mozilla Add-ons. Les deux problèmes ont été réglés et les détails sont décrits ci-dessous.

Mozilla Sniffer

Problème

Une extension appelée « Mozilla Sniffer » a été transférée le 6 juin sur addons.mozilla.org. On a découvert que cette extension contient du code qui intercepte les données de connexion soumise à n’importe quel site Web et envoie ces données à un emplacement distant. Dès la découverte le 12 juillet, l’extension a été désactivée et ajoutée à la liste de blocage qui invitera l’extension à être désinstallée pour tous les utilisateurs actuels.

Impact pour les utilisateurs

Si un utilisateur installe cette extension et soumet un formulaire de connexion avec un champ de mot de passe, toutes les données du formulaire seront soumise à un emplacement distant. Toute personne qui a installé cette extension doit changer ses mots de passe dès que possible.

État

Mozilla Sniffer a été téléchargé approximativement 1 800 fois depuis sa soumission et signale actuellement 334 utilisateurs actifs quotidiens. Tous les utilisateurs actuels devraient recevoir une notification de désinstallation dans un jour ou deux. Le site à qui cette extension envoie ses données semble être hors service pour le moment, donc on ne sait pas si des données sont toujours collectées.

Mozilla Sniffer n’a pas été développé par Mozilla et il n’a pas été examiné par Mozilla. L’extension était dans un stade expérimental et tous les utilisateurs qui l’on installée devrait avoir vu un avertissement indiquant qu’elle n’était pas examinée. Les extensions non examinée sont scannées pour les virus, chevaux de Troie et autres malwares connus, mais certains types de comportements malicieux ne peuvent être détectés que par un examen du code.

Crédit

Ce problème a été initialement rapporté par Johann-Peter Hartmann.

Note

Avoir des extensions non examinées exposées au public, même avec une faible visibilité, a déjà été identifié comme un vecteur d’attaques pour les pirates. Pour cette raison, nous travaillons déjà sur l’implémentation d’un nouveau modèle de sécurité pour addons.mozilla.org qui exigera de tous les modules complémentaires d’avoir leur code examiné avant qu’ils soient découvrables sur le site. Voici de plus amples informations sur le sujet.

CoolPreviews

Problème

Une vulnérabilité de sécurité d’élévation de privilèges a été découverte dans la version 3.0.1 de l’extension CoolPreviews. La vulnérabilité peut-être déclenchée en utilisant un lien hypertexte spécialement conçu. Si l’utilisateur passe le curseur au-dessus de ce lien, la fonction de prévisualisation exécute du code JavaScript distant avec des privilège du chrome local, donnant au script agresseur le contrôle sur l’ordinateur hôte. La version 3.0.1 et les versions plus anciennes ont été désactivées sur addons.mozilla.org et une version corrigée a été téléchargée et examinée dans la journée dans laquelle le développeur a été notifié.

Impact pour les utilisateurs

Du code d’une démonstration de faisabilité pour cette vulnérabilité a été publié sur ce blog, mais aucun exploit malveillant n’a été signalé jusqu’à présent. Si un utilisateur a une version vulnérable installée et clique sur un lien malveillant qui cible l’extension, le code dans le lien malveillant sera exécuté avec les privilèges locaux, obtenant potentiellement accès au système de fichiers et permettant du téléchargement et de l’exécution de code.

Tous les utilisateurs de CoolPreviews doivent mettre à jour vers la dernière version dès que possible afin d’éviter l’exposition.

État

Actuellement, 177 000 utilisateurs ont une version vulnérable installée. C’est moins de 25 % de la base actuellement installée et ça continuera à diminuer à mesure que les utilisateurs seront invités à mettre à jour vers une nouvelle version. Les versions vulnérables seront aussi mises sur liste de blocage très bientôt.

Crédit

Ce problème a été initialement signalé par Alice White.

Source

Mozilla Add-ons Blog, Add-on security vulnerability announcement, 13 juil. 2010