Исследователь обошел фильтры NoScript с помощью субдомена Google
Популярное дополнение для Firefox никак не ограничивало сценарии на googleapis.com.
Исследователь безопасности из Detectify Линус Саруд (Linus Särud) сообщил об уязвимости в популярном дополнении NoScript для Firefox, с помощью которой злоумышленники могли обойти установленные программой ограничения безопасности.
Аудитория пользователей инструмента безопасности достигает 2 миллионов человек, а функционал предполагает надежную защиту от хищения кликов и XSS-атак, осуществляемых с помощью JavaScript и Flash.
По словам Саруда, серьезный недостаток NoScript состоит в том, что программа никак не фильтрует контент на web-сайтах, являющихся субдоменами Google. С помощью googleapis.com исследователь смог создать сценарий, который обошел установленные по умолчанию настройки NoScript, и запустился в браузере на атакуемой системе.
«После того, как стало понятно, что все субдомены Google находятся в белом списке я понял, что смогу использовать storage.googleapis.com», - поясняет Саруд.
В настоящий момент разработчики NoScript уже изменили изначальные настройки фильтра и оставили в белых списках лишь размещенные поисковым гигантом библиотеки на ajax.googleapis.com.
Цифровые следы - ваша слабость, и хакеры это знают.