ChimeraRevo – Le migliori guide e recensioni tech del Web
menubar
ChimeraRevo – Le migliori guide e recensioni tech del Web close menu
  • Offerte
  • Guide
  • Guide di acquisto
  • Recensioni
Tag: Mozilla Firefox
Home > Guide > Internet > Firefox, estensioni vulnerabili a causa di un ‘difetto’ del meccanismo

Firefox, estensioni vulnerabili a causa di un ‘difetto’ del meccanismo

Gaetano Abatemarco Apr 07, 2016

Si chiama Sandbox ed è una delle tecniche usate da numerosi software per limitare i danni provocati da utilizzi non previsti delle stesse; in poche parole, una sandbox impedisce ad un programma l’accesso a diverse aree della memoria, del disco o del sistema operativo onde evitare avvenimenti sgradevoli.

Nonostante Mozilla Firefox si affidi a tecniche avanzate per garantire la sicurezza dell’utente e l’integrità dei dati nell’uso delle estensioni – tra cui, ad esempio, l’aver abolito definitivamente il caricamento di estensioni non firmate – è proprio l’assenza della sandbox a provocare un difetto di forma che rende numerose estensioni, di fatto, vulnerabili.

Estensioni Mozilla Firefox

E’ il risultato di una recente ricerca messa a punto da due ricercatori, che hanno dimostrato come il non-sandboxing sulle estensioni potrebbe provocare l’esecuzione di codice remoto nel browser: in poche parole, un’estensione potrebbe “istruire” un’altra estensione a fare ciò che il browser di per sé impedirebbe di fare, ad esempio visitare un sito web malvagio.

Ciò, che possiamo definire “vulnerabilità cross-extension”, si verifica in particolare con estensioni quali GreaseMonkey, NoScript, FireBug e tutte quelle che possono essere “istruite” a fare qualcosa da parte di un agente esterno.

Funzionamento della vulnerabilità cross-extension
Funzionamento della vulnerabilità cross-extension

Per meglio comprendere il meccanismo, i due ricercatori hanno sviluppato come proof-of-concept un add-on, tale ValidateThisWebsite, che con la “scusa” di analizzare il codice HTML di un sito per la verifica della conformità agli standard, invocano invece l’add-on NoScript per far visualizzare all’utente una pagina web a piacere. Qualcosa di simile potrebbe essere usato per mostrare pagine pubblicitarie, pagine contenenti malware o peggio ancora contenenti tentativi di phishing.

Trattandosi di una “vulnerabilità” intrinseca nel sistema di gestione delle estensioni (per cui, ripetiamo, il browser Firefox applica comunque una ferma politica di sicurezza), Mozilla era già al corrente del problema ed in realtà è da tempo al lavoro sulla soluzione: grazie alle nuove API WebExtensions ed al progetto Electrolysis, che di fatto introdurrà il multi-processo in Firefox, verrà implementato entro la fine dell’anno il supporto al sandboxing delle estensioni.

In attesa che ciò avvenga, i ricercatori hanno spronato Mozilla affinché introduca un sistema in grado di cercare automaticamente questo tipo di vulnerabilità, anche grazie ad una eventuale integrazione con CrossFire, un’app sviluppata dai due ricercatori per rilevare le potenziali vulnerabilità cross-extension.

via

Sicurezza informatica: come proteggersi in famiglia, a scuola e in azienda

2 settimane fa

La sicurezza informatica è un aspetto ancora troppo sottovalutato nell’utilizzo di internet e dei dispositivi informatici ormai costantemente connessi. Mentre in ambito professionale la sicurezza informatica è un’esigenza già nota in molte aziende, a scuola leggi di più…

sicurezza informatica

Installare l’app ChatGPT sul PC

3 settimane fa

ChatGPT è un’applicazione di chat avanzata basata sull’intelligenza artificiale che consente agli utenti di avere conversazioni fluide con un assistente virtuale. Nel caso in cui sei solito utilizzare spesso la nuova intelligenza artificiale e desideri leggi di più…

Installare l'app ChatGPT su PC

Migliori smartphone 2023: quale comprare

3 settimane fa

Non esiste lo smartphone migliore, esiste invece il telefono perfetto alle proprie esigenze che sono sicuramente diverse da quelle di un’altra persona, di un parente o amico. Ecco cosa di solito rispondo quando mi chiedete: leggi di più…

miglior smartphone

Convertire foto HEIC in JPEG su tutti i dispositivi

3 settimane fa

Il formato HEIC (High Efficiency Image Format) è un tipo di file immagine di alta qualità introdotto da Apple con iOS 11. Sebbene offra un’ottima qualità dell’immagine, può risultare problematico per gli utenti che desiderano leggi di più…

Convertire HEIC in JPEG

Creare mappe concettuali con Word

4 settimane fa

Se stai cercando un modo semplice e intuitivo per creare mappe concettuali, sei nel posto giusto. In questo articolo, ti mostrerò come creare mappe concettuali con Word utilizzando la funzione SmartArt e la funzione “Inserisci leggi di più…

Creare mappe concettuali con Word

Iscriviti alla Newsletter

Articoli recenti

  • Sicurezza informatica: come proteggersi in famiglia, a scuola e in azienda
  • Installare l’app ChatGPT sul PC
  • Migliori smartphone 2023: quale comprare
  • Convertire foto HEIC in JPEG su tutti i dispositivi
  • Creare mappe concettuali con Word
  • Chi siamo
  • Contatti
  • Pubblicità
  • Lavora con noi
  • Privacy

Copyright © 2020. Tutti i diritti riservati. ChimeraRevo SRL - P.I.: IT05544220659

Modifica impostazioni sulla privacy