Исследователь обошел фильтры NoScript с помощью субдомена Google

image

Теги: Google, NoScript, Firefox

Популярное дополнение для Firefox никак не ограничивало сценарии на googleapis.com.

Исследователь безопасности из Detectify Линус Саруд (Linus Särud)  сообщил об уязвимости в популярном дополнении NoScript для Firefox, с помощью которой злоумышленники могли обойти установленные программой ограничения безопасности.

Аудитория пользователей инструмента безопасности достигает 2 миллионов человек, а функционал предполагает надежную защиту от хищения кликов и XSS-атак, осуществляемых с помощью JavaScript и Flash.

По словам Саруда, серьезный недостаток NoScript состоит в том, что программа никак не фильтрует контент на web-сайтах, являющихся субдоменами Google. С помощью googleapis.com исследователь смог создать сценарий, который обошел установленные по умолчанию настройки NoScript, и запустился в браузере на атакуемой системе.

«После того, как стало понятно, что все субдомены Google находятся в белом списке я понял, что смогу использовать storage.googleapis.com», - поясняет Саруд.

В настоящий момент разработчики NoScript уже изменили изначальные настройки фильтра и оставили в белых списках лишь размещенные поисковым гигантом библиотеки на ajax.googleapis.com. 

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.