Gefahr durch Firefox-Erweiterungen

Der Student Christopher Soghoian warnt vor den Firefox-Erweiterungen von Firmen wie Google, Yahoo und AOL, die nicht über die Mozilla Add-ons-Seite ausgeliefert werden. In den allermeisten Fällen nutzen die nämlich für ihre Tests auf neue Updates und deren Download ungesicherte Verbindungen. Hat ein möglicher Angreifer Zugriff auf das verwendete Netz – beispielsweise in einem öffentlichen Funknetz – kann er diese Verbindungen recht einfach so umleiten, dass der Browser ohne Wissen des Anwenders eine Hintertür herunterlädt und dann installiert.

Als prominentes Beispiel führt Soghoian das beliebte Google Pack beziehungsweise die Google Toolbar an. Die meisten kleineren Erweiterungen sind hingegen nicht betroffen, da deren Entwickler meist die von Mozilla bereitgestellte Infrastruktur nutzen, die auf SSL-gesicherte Verbindungen aufsetzt. Die in Firefox/Mozilla implementierten Mechanismen für das Signieren von Code sind bislang ziemlich unterentwickelt und werden wohl auch deshalb praktisch nicht genutzt.

Soghoian hat neben dem Mozilla-Entwicklerteam auch viele große Firmen vor 45 Tagen auf dieses Problem aufmerksam gemacht. Für die Firefox/Ebay -Erweiterung hat das Mozilla-Team innerhalb von zwei Tagen eine überarbeitete Version bereitgestellt. Weitere Reaktionen sind bislang nicht dokumentiert.

Um sich zu schützen, sollten Anwender die betroffenen Erweiterungen zumindest beim Surfen in unsicheren Netzen vorübergehend deaktivieren. Festzustellen, welche Erweiterungen tatsächlich betroffen sind, dürfte im Einzelfall aber nicht ganz einfach sein, im Zweifelsfall sind es alle, die nicht von den offiziellen Mozilla/Firefox-Seiten stammen. Das Mozilla-Team sieht zwar die Verantwortung bei den jeweiligen Herstellern, denkt aber darüber nach, den Update-Mechanismus für Firefox 3 zu überarbeiten.

Siehe dazu auch:

• A Remote Vulnerability in Firefox Extensions von Christopher Soghoian

(ju)