Vigil@nce - Firefox : contournement de l’audit via Extension-Reuse
avril 2016 par Vigil@nce
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut créer une extension Firefox malveillante, et
inviter la victime à l’installer, afin d’effectuer des
opérations à travers les autres extensions déjà installées.
Produits concernés : Firefox, SeaMonkey.
Gravité : 1/4.
Date création : 05/04/2016.
DESCRIPTION DE LA VULNÉRABILITÉ
L’équipe Mozilla a mis en place un système d’audit, afin de
valider les extensions publiées sur https://addons.mozilla.org/
Cependant, une extension malveillante peut employer les
fonctionnalités bas niveau des extensions déjà auditées,
approuvées, et installées sur l’ordinateur de la victime.
Un attaquant peut donc créer une extension Firefox malveillante,
et inviter la victime à l’installer, afin d’effectuer des
opérations à travers les autres extensions déjà installées.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
https://vigilance.fr/vulnerabilite/Firefox-contournement-de-l-audit-via-Extension-Reuse-19300