Firefox-Erweiterungen lassen sich heimlich installieren
Im freien Browser Firefox können Angreifer Add-ons hinter dem Rücken des Anwenders installieren. Voraussetzung ist allerdings, dass er ein externes Programm laufen lässt.
- Christian Kirsch
Ein Mechanismus, mit dem der freie Browser Firefox das heimliche Installieren von Add-ons verhindern will, lässt sich unter bestimmten Umständen aushebeln. Das beschreibt Julien Sobrier in einem Blog-Beitrag der Sicherheitsfirma Zscaler Research. Die Lücke lässt sich jedoch nur durch ein Programm ausnutzen, das ohnehin Schreibzugriff auf das Profile-Verzeichnis des Firefox hat. In der Regel dürfte es dann auch andere Benutzerdaten zumindest lesen können.
Sobrier erwähnt als Beispiel für das Verfahren Programme, die eine Toolbar im Browser installieren. Sie kopieren das Add-on in das Profile-Verzeichnis, und beim nächsten Neustart bittet Firefox den Benutzer um Zustimmung zur Installation. Dazu verlässt er sich auf die Datenbank extensions.sqlite: Deren Tabelle addon enthält alle bereits installierten und vom Benutzer gebilligten Erweiterungen.
Ein externes Programm kann nun laut Sobrier einen Eintrag in dieser Tabelle mit allen nötigen Informationen erstellen und die relevanten Felder (unter anderem active, userDisabled, visible) auf die passenden Werte setzen. Dadurch fragt Firefox den Anwender beim nächsten Neustart nicht mehr, ob er die Erweiterung installieren will.
Prinzipiell scheint so ein Angriff zwar möglich. Das dafür erforderliche externe Programm muss dann allerdings ohnehin weitreichende Rechte in dem jeweiligen Benutzerverzeichnis haben, sodass es noch ganz andere Schäden anrichten könnte, als eine Sqlite-Datenbank zu manipulieren und ein Firefox-Add-on zu installieren. (ck)