Една четвърт от тестваните разширения на Google Chrome са уязвими за атаки

Една четвърт от тестваните разширения на Google Chrome са уязвими за атаки
3 October 2011

Една четвърт от тестваните разширения на Google Chrome са уязвими за атаки

// Antivirusni.BG //  - Установено е, че 27 от 100 тествания на разширения на Google Chrome са се указали уязвими от атаки за извличане на данни (пароли, история и т.н.), чрез сайтове специално проектирани от злонамерени хакери и отворен Wi-Fi мрежи.

Трима изследователи от сферата на сигурността, ръчно анализирали 50-те най-популярните разширения на Chrome и добавили към този списък още 50 избрани на случаен принцип.

"Търсихме за уязвимост при JavaScript инжекция в ядрото на разширенията позволява пълен контрол над разширяването" - обясни Адриан Портър Фелт(Adrian Porter Felt), един от изследователите. За да докажат твърдението си, те са разработили PoC-атаки които да използват при демонстриране на уязвимости в своите цели.

Лошата новина е, че повече от 25% от изследваните разширения са считани за уязвими, а седем от тях използват повече от 300 000 потребители.

Добрата новина е, че 49 от 51 уязвимости могат да бъдат закърпени само с помощта на една от двете предложени правила за безопасност (Content Security Policies).

Тези правила предотвратяват въвеждането на най-различен зловреден софтуер:. забранява използването на eval функции, така че непроверени данни да не могат да се използват като код, чрез преместване на JavaScript във валидни файлове с разширение .JS, така че вградените злонамерени скриптове се различават от валидните и те могат веднага да се открият, и напълно или частично да бъдат отхвърлени.

"В допълнение към основните грешки, разширенията може да допринесат за уязвимостта на сайтове," - каза Портър. "CSP няма да бъде в състояние да предотврати това, но разработчиците трябва да запомнят да не използват innerHTML за актуализиране на уеб сайтове. Вместо това, използвайте innerText или DOM-методи, като например AppendChild. Разширенията също не трябва да се  добавят към HTTP-скриптове или CSS за сайт HTTPS ".

Източник: bezpeka.com


Сканирай файл онлайн с Metascan!

Премахни антивирус с AppRemover!



Въведи своя e-mail и получавай

свежите намаления и новини!