image

Ontwikkelaar: Mozilla brengt Windows-gebruikers in gevaar

woensdag 5 augustus 2015, 11:35 door Redactie, 4 reacties

Sinds de lancering van Thunderbird 38 heeft Mozilla de e-mailclient van de Lightning-extensie voorzien, maar de manier waarop de uitbreiding wordt geïmplementeerd is een beveiligingsrisico voor Windows-gebruikers. De Duitse softwareontwikkelaar Stefan Kanthak noemt het zelfs een 'beveiligingsnachtmerrie'.

Lightning voorziet Thunderbird van een agenda. De extensie wordt standaard geactiveerd, hoewel gebruikers Lightning wel kunnen uitschakelen. Mozilla installeert de extensie in de profielmap van gebruikers en niet in de ProgramFiles-directory. Daarmee schendt Mozilla de verplichte ontwikkelrichtlijnen voor Windows, zo stelt Kanthak. Ook introduceert het een beveiligingsrisico.

Applicaties in de ProgramFiles-directory kunnen alleen door gebruikers met voldoende rechten worden gewijzigd. Dat geldt niet voor bestanden in de AppData-directory. Het is echter in deze directory waarin het Thunderbird-profiel van gebruikers is opgeslagen en de Lightning-extensie zich bevindt. "Dit is een fundamentele kwetsbaarheid van Mozilla's extensies en een beveiligingsnachtmerrie", zo schrijft Kanthak op de Buggtraq-mailinglist.

Volgens de ontwikkelaar hoeven gebruikers vanwege veiligheidsredenen geen code uit hun gebruikersprofiel uit te voeren. Dat gaat niet op voor Lightning, dat wel hiervandaan wordt uitgevoerd. Een aanvaller die toegang tot het systeem heeft kan hierdoor de DLL-bestanden en JavaScript van de extensie vervangen. Kanthak adviseert Mozilla dan ook om lokale installaties van extensies in Mozilla-producten uit te schakelen en alleen globale installaties van extensies toe te staan.

Reacties (4)
05-08-2015, 12:28 door Erik van Straten - Bijgewerkt: 05-08-2015, 12:30
Sowieso kun je Firefox (en mogelijk Thunderbird, dat heb ik niet getest) "installeren" zonder adminrechten, en dat geldt ook voor alle plugins. Wel is het zo dat in jouw "Profile" mapnaam een random code is opgenomen om te voorkomen dat "path traversal bugs" ertoe leiden dat een aanvaller al te makkelijk bestanden, waaronder plugins en extensions, in die profile map (of submappen) kan overschrijven, als volgt:
c:\Users\<jouw_naam>\AppData\Roaming\Mozilla\Firefox\Profiles\<random_tekens>.default\

Het kunnen installeren van software zonder adminrechten is, neem ik aan, een bewuste ontwerpkeuze geweest van Mozilla. Als je dat een beveiligingsnachtmerrie vindt, moet je ervoor zorgen dat gebruikers geen ongeauthoriseerde code kunnen uitvoeren.

In gangbare besturingssystemen als Windows, Linux en OS X is dat echter knap lastig. En als het je lukt om beperkingen te realiseren leidt dat er al snel toe dat gebruikers enorme beperkingen worden opgelegd. Immers, wat is precies code? Dat gaat echt veel verder dan bestanden met extensies als .EXE en .DLL (die met de letters "MZ" beginnen). Als ik geen scripts of batchfiles meer zou mogen schrijven en uitvoeren kan ik mijn werk nauwelijks nog doen. En als ik die zou moeten signeren, en dat op mijn eigen PC doe, kan een aanvaller die mijn PC gehacked heeft, dat natuurlijk ook.

Beter is het daarom om te focussen op het beperken van privileges (wat mag een gebruiker) en permissies (bestanden, registry, devices, drivers etc) en ervoor te zorgen dat je onverwachte handelingen detecteert.

Overigens heb ik zelf Firefox en Thunderbird voor "All Users" (dus onder c:\Program Files (x86)\) geïnstalleerd, maar Firefox plugins/extensions aan de praat krijgen voor "All Users" is soms lastig. En het is ook wel eens handig als je met een "clean" account kunt inloggen en met een kale Firefox (zonder uitbreidingen) kunt testen (zonder daar aparte VM's voor te moeten optuigen en up-to-date houden).

Uit oogpunt van bewustwording een goede melding van Stefan Kanthak en de Redactie. Een echt werkbare oplossing bestaat er, bij mijn weten, niet voor - maar ik word graag aangenaam verrast!
05-08-2015, 13:33 door Mysterio
Pfff... Chrome doet dit ook... Zoveel luie ontwikkelaars gebruiken dit als oplossing om de UAC te omzeilen en eenvoudig gebruikersprofielen te implementeren. Het is een beetje onzinnig om nu Mozilla te bestempelen als makers van een beveiligingsnachtmerrie.
05-08-2015, 19:48 door Anoniem
Behoorlijk overdreven.
Gewoon de uitvoerbare code in de profielen valideren via handtekeningen...
ow wacht, daar is men al vanaf begin dit jaar mee bezig:
https://wiki.mozilla.org/Addons/Extension_Signing
https://blog.mozilla.org/addons/2015/02/10/extension-signing-safer-experience/
07-08-2015, 11:23 door karma4 - Bijgewerkt: 07-08-2015, 11:30
De kritiek van Stefan Kanthak lijkt me terecht. Je wil niet dat ongecontroleerd buiten je medeweten om software op jouw omgeving gaat draaien. Dat het lastig is voor gebruikers omdat ze niet in vrijheid blijheid eigen software kunnen installeren en gebruiken is wat anders. Zoiets is namelijk een gewenst doel.

Met het beperken van privileges is het blokkeren van ongewenste (niet gecontroleerde gevalideerde software) een van de doelen. Als ook de uitbreidingen stabiel moeten blijven wegens de "applicatie" dan moet dat ook dicht staan.

Het afschermen van data als bestanden (bedrijfsgegevens) is een ander aandachtspunt. Ik maak een duidelijk onderscheid tussen code (bedrijfslogica) en data (bedrijfsgegevens) aangezien de aspecten echt anders zijn.
Vanuit het OS gezien is alles data en “applicatief”, wordt dat verschil onterecht te vaak genegeerd net zoals tools middleware anders zijn.
Als het om een los staand tool gaat zonder andere afhankelijkheden worden de overwegingen weer anders (Zero impact installatie zou moeten mogen). Het gaat inderdaad om bewustwording.

prima opmerking met dat "te zorgen dat je onverwachte handelingen detecteert" en niet vergeten dan ook te reageren.

Leuk om te zien dat plugins (software code) een andere post langs komt. Dat misleiden en da laten installeren is een zwak punt in de security.
https://www.security.nl/posting/438830/Chrome+gaat+misleidende+inline-installaties+blokkeren

Ja ik zie in de mozilla blog dat ze dezelfde kant opgaan. Netjes toegegeven dat het een security risk is, er te veel misbruik is en dat ze er wat aan gaan doen (feb 2015). Het lijkt me nog niet klaar/uitgerold.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.