Script malicioso que compromete las extensiones del navegador

2

En Firefox o Chrome, ¿Es posible que un script de página web ponga en peligro una extensión instalada por el usuario?
Esto puede implicar el acceso a datos privados de extensión u obtener los mismos privilegios de ejecución que la extensión comprometida.

No estoy interesado en las vulnerabilidades desde el lado del navegador, que pueden ser ocasionales y corregidas relativamente rápido, pero en el lado de las extensiones. ¿Qué medidas pueden tomar los desarrolladores de extensiones para reducir el vector de ataque?

    
pregunta antonio 12.01.2017 - 22:23
fuente

1 respuesta

4
  

En Firefox o Chrome, ¿es posible que un script de página web ponga en peligro una extensión instalada por el usuario?

Absolutamente, las extensiones están recibiendo su parte justa de vulnerabilidades. Los errores que debe tener en cuenta dependen de cómo interactúa la extensión con el contenido web. Por ejemplo, el complemento LastPass para Firefox ha demostrado ser vulnerable varias veces . Debido a una de las fallas, fue posible que un sitio web preparado < exfiltrate las credenciales almacenadas de la cuenta que pertenecen a diferentes dominios al confundir el analizador de URL de la extensión.

  

¿Qué medidas pueden tomar los desarrolladores de extensiones para reducir el vector de ataque?

Al igual que con las aplicaciones web normales, necesita validar las opiniones de los usuarios, evitar inyecciones, verificar orígenes, etc. No puede proporcionar una lista completa aquí. Dado que las extensiones de navegador a menudo se implementan utilizando tecnologías web (JS, HTML, ...), se aplican la mayoría de las vulnerabilidades típicas de las aplicaciones web. También tenga en cuenta que las extensiones a menudo operan con privilegios más altos que los scripts web, lo que significa que una falla XSS en una extensión de Firefox puede comprometer potencialmente al host.

    
respondido por el Arminius 12.01.2017 - 23:24
fuente

Lea otras preguntas en las etiquetas