mercredi 20 juillet 2005
Faille de sécurité majeure trouvée dans Greasemonkey
Une grave faille de sécurité été trouvée dans l’extension populaire Greasemonkey pour Mozilla Firefox, autorisant la possibilité à des sites Web d’accéder à n’importe quel fichier de l’ordinateur de l’utilisateur. D’abord sorti l’année dernière, Greasemonkey permet aux utilisateurs d’installer des petits bouts de code (connu sous le nom de scripts utilisateurs) qui changent la manière de se comporter des différents sites Web. Si un utilisateur exécutant une version vulnérable de Greasemonkey visite un site Web qui déclenche au moins un de ses scripts utilisateurs alors le site Web peut lire n’importe quels fichiers de cet utilisateur ou lister le contenu de n’importe lequel des répertoires/dossiers de cet utilisateur. Le problème peut être résolu soit en installant Greasemonkey 0.3.5, qui corrige la faille mais diminue les fonctionnalités, ou soit en désintallant complètement Greasemonkey. Une version avec toutes les fonctionnalités de Greasemonkey qui corrige les problèmes de sécurité est en cours de développement.
Tomas Marek nous a envoyé un lien sur le Greaseblog officiel, qui a un billet décrivant la vulnérabilité de sécurité de Greasemonkey. Il a été découvert par Mark Pilgrim, qui a écrit à un livre en ligne concernant Greasemonkey au début de cette année. Le message de Mark sur la liste de diffusion de Greasemonkey au sujet de la faille de sécurité explique que si un utilisateur a un script qui est initialisé pour être exécuté à chaque page qu’il visite (certaines versions de Greasemonkey sont sorties avec de tels scripts par défaut) alors il offre le contenu entier de son ordinateur à tous les sites qu’il visite. Cependant, il n’y a aucune exploitation connue de la faille jusqu’à présent.
Miguel nous a informé que Shiwej a un résumé de la vulnérabilité de Greasemonkey, avec des citations de Mark et de certains des développeurs. eWeek le site généraliste de nouvelles technologiques a également un article sur le trou de sécurité de Greasemonkey. Merci à Roseman pour le lien.
En attendant, BetaNews a une vision globale, s’interrogeant si les systèmes d’extensions de Firefox est en soi une faiblesse de sécurité. « Les attaquants ont longtemps utilisés le support des plug-ins ActiveX d’IE pour infiltrer un système, » indique l’article, « et certains indiquent maintenant que les mêmes choses peuvent être faits en utilisant les extensions de Firefox. » BetaNews cite des commentaires de Slashdot — qui a précédemment publié un article sur la vulnérabilité de sécurité de Greasemonkey — exprimant des inquiétudes similaires. En effet, la fondation Mozilla n’a jamais prétendu que les extensions installées de plein gré par les utilisateurs sont sans danger et il est connu depuis longtemps que clairement les extensions peuvent faire pratiquement n’importe quoi une fois qu’elles s’exécutent sur le système d’un utilisateur. Cependant, elle s’inquiète que certains utilisateurs croient que les extensions sont implicitement sûres.
CNET News.com a un article erroné dans les faits sur la faille de Greasemonkey, suggérant par erreur que la fondation Mozilla soit derrière l’extension populaire. En réalité, Greasemonkey est développé par une équipe de volontaires et hébergé sur le site indépendant mozdev. Cependant, la fondation Mozilla inclut Greasemonkey sur Mozilla Update, son site de modules additionnels. Cité dans l’article d’eWeek, Mark argumente sur le fait que Mozilla Update devrait enlever Greasemonkey et mettre à la place une grosse mise en garde. Ce n’est pas la première fois que des inquiétudes sont exprimées concernant la sécurité des extensions listées sur Mozilla Update.
TechWeb a un article concernant le bogue de sécurité de Greasemonkey qui identifie correctement que « la vulnérabilité de Greasemonkey n’est pas un défaut de Firefox » mais note que « c’est la troisième humiliation publique pour le navigateur populaire en quelques jours », se rapportant au piratage de Spread Firefox et aux extensions hors-service dans Firefox 1.0.5.
En raison de son objectif même de modifier les pages Web visitées, Greasemonkey a longtemps été la source de polémiques, concernant le contrôle sans précédent qu’il donne aux utilisateurs et ses possibles conséquences sur le marché de la publicité en ligne. Des inquiétudes concernant la sécurité ont aussi été soulevées auparavant, bien que celles-ci aient la plupart du temps tournées autour de la crainte de scripts utilisateurs hostiles soient développés, plutôt que les failles dans Greasemonkey lui-même mettant les utilisateurs en danger.
Il serait peut-être temps de revoir le mode d’installation des extensions avant que Firefox devienne une passoire comme IE.
Par exemple que les extensions soient d’abord approuvées par Mozilla, dotés d’une signature numérique et installables uniquement
à partir de sites approuvés. Présentement c’est n’importe quoi et par n’importe qui sur n’importe quel site.
C’est bien beau de se péter les bretelles avec le nombre de téléchargements de Ff
et se faire battre la gueule en parlant de navigation plus sure: ça ne durera pas.
L’alternative est simple : mettre bon ordre là dedans maintenant
ou crouler dans le ridicule dès que l’exploitation malicieuse des
extensions sera la nouvelle mode chez les vandales du Ouaibe !
🙂