Расширения Google Chrome могут быть деактивированы без участия пользователя

Расширения Google Chrome могут быть деактивированы без участия пользователя

Эксперту удалось деактивировать популярное расширение HTTPS Everywhere всего за несколько часов.

image

Исследователь безопасности компании Detectify Labs Матиас Карлссон (Mathias Karlsson) обнаружил брешь в браузере Google Chrome, которая позволяет злоумышленникам без какого-либо участия пользователя деактивировать расширения, в том числе популярное HTTPS Everywhere, форсирующее защищенное соединение HTTPS на всех сайтах, где это возможно.

Карлссон начал с того, что проанализировал исходный код расширения HTTPS Everywhere на предмет корректности имплементации Block all HTTP requests, однако ему не удалось обнаружить никаких ошибок. Через некоторое время к своему удивлению эксперт заметил, что подключение расширения с помощью обработчика URI привело к деактивации HTTPS Everywhere. Более того, таким образом Карлссону удалось деактивировать не только HTTPS Everywhere, но и другие протестированные им расширения.

По словам специалиста, на то, чтобы деактивировать HTTPS Everywhere, ему понадобилось всего несколько часов. Стоит отметить, что в самом расширении не содержится брешь, и затрагивает она только пользователей, не установивших автоматические обновления. Карлссон проинформировал о проблеме команду разработчиков Google Chrome, которая устранила ее в недавнем бета-релизе.

 

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Комментарии для сайта Cackle