31 de maig de 2007

Vulnerabilitat a l'actualització de moltes extensions

Christopher Soghoian va fer públic ahir que ha descobert una vulnerabilitat que afecta a una llarga llista d'extensions(en) entre les quals destaquen:

Tot i que la llista segueix. La majoria són extensions comercials, és a dir extensions que han desenvolupat empreses privades com Google, Yahoo!...

El problema resideix en el sistema d'actualització d'aquestes extensions, que pateixen un atac man-in-the-middle(+): l'extensió es connecta quan el Firefox s'encén a una direcció IP per cercar actualitzacions, només caldria canviar aquesta adreça IP per una maliciosa per aconseguir que l'ordinador de l'usuari es descarregués programari maliciós de tot tipus.

Això només es podria fer si l'adreça d'actualització fós http:// en comptes de https:// (la segura).

Les extensions que es descarreguen a partir de la pàgina web de Mozilla Add-ons(en) són segures, i és que Mozilla només garanteix la seguretat de les extensions llistades a la seva pàgina.

Fa un mes i mig que el descobridor d'aquesta vulerabilitat va advertir els productors, els quals primer el van ignorar i ara encara demanen temps per resoldre el problema.

L'única sol·lució possible és deshabilitar o desinstal·lar les extensions que no hàgim baixat des del lloc oficial de Mozilla Add-ons(en).

Mozilla s'ho ha près tan seriosament que ha publicat un missatge a la seva pàgina de desenvolupadors(en) perquè ho tinguin present.

Cap comentari:

Publica un comentari a l'entrada