Bekannte Sicherheitslücken durch veraltete Erweiterungen?

    Hallo,

    mich interessiert, ob Fälle bekannt sind, bei denen eine Sicherheitslücke in einer veralteten Erweiterung bereits jemals aktiv ausgenutzt wurde und welche Erweiterungen das betrifft.

    Von der gesamten Materie habe ich recht wenig Ahnung, könnte mir aber gut vorstellen, dass so was möglich wäre.

    Bei bekannten Plugins wie Flash, Java usw. ist es soweit klar, mir geht es aber explizit um Erweiterungen.

    Ich habe aber noch niemals eine diesbezügliche Meldung gelesen und bin daher gespannt, ob Ihr was zum Thema sagen könnt...

    Gruß

    Petrik75

    Hm, keine Antworten - kann man nun daraus schließen, dass derartige Sicherheitslücken nicht bekannt sind bzw. bisher noch niemals ausgenutzt wurden? Auch bei der Suche via Google findet man zum Thema absolut gar nichts.

    Ich werde die Erweiterungen trotzdem weiter wie gewohnt aktuell halten, bekomme aber den Eindruck, dass es vielleicht nicht unbedingt sicherheitsrelevant ist, wenn die eine oder andere Erweiterung mal nicht auf dem aktuellen Stand ist bzw. man eine ältere Erweiterung mittels Anpassung der install.rdf selbst kompatibel macht...

    Grüße

    Petrik75

    Zitat von petrik75

    Hm, keine Antworten - kann man nun daraus schließen, dass derartige Sicherheitslücken nicht bekannt sind bzw. bisher noch niemals ausgenutzt wurden?


    Nein, man kann daraus schließen, daß du nicht ausreichend Geduld aufgebracht hast.

    Zitat von petrik75

    Auch bei der Suche via Google findet man zum Thema absolut gar nichts.


    Und daraus schließe ich, daß du bei der Google-Suche ebenfalls nicht genug Geduld hattest. https://encrypted.google.com/search?q=Siche…fox+Erweiterung sollte doch nicht wirklich so abwegig sein - und produziert Ergebnisse.

    Erweiterungen sind sogar große Sicherheitsrisiken. Die meisten (nicht alle!) werden von Hobbybastlern erstellt und genügen selten den notwendigen Sicherheitsstandards. Und selbst bei den verbreiteten großen Erweiterungen treten immer mal wieder Sicherheitslücken auf.

    Dass diese aber aktiv (in einem relevanten Umfang/Ausmaß) ausgenutzt werden würde, ist mir jetzt noch nicht so bekannt geworden. Immerhin verwenden nur ein kleiner Teil aller Firefoxbenutzer auch wirklich (aktiv) Erweiterungen, womit die Verbreitung geringer ist und damit das Interesse der Hacker ebenfalls geringer sein dürfte.

    Erweiterungen von großen Herstellern, die ihre Erweiterungen im Bundle zusammen mit dem eigentlichen Programm (indirekt oder gar ungefragt, bzw. versteckt) verteilen (sowas wie Skype oder Java), halte ich im übrigen für eine noch viel größere Gefahr, da diese Erweiterungen meist schlecht gepflegt werden und Updates teils ewig auf sich warten lassen.

    Ok, nochmals vielen Dank für die Erläuterungen.

    Ganz wohl ist mir bei der Verwendung von Erweiterungen nun nicht mehr, ohne geht es aber zumindest bei mir auch nicht.

    Gibt es denn eigentlich von Mozilla so eine Art "Qualitätsmanagement", in welchem auch Erweiterungen auf Sicherheitsmängel geprüft werden? Ansonsten würde man ja praktisch gar nichts darüber erfahren, wenn da mal eine Lücke entsteht bzw. eine Erweiterung von Anfang an bedenklich ist...

    AMO überprüft Erweiterungen hinsichtlich Funktionalität/Störungen mit aktiven Firefüchsen. Ob auch Sicherheitsaspekte eine Rolle spielen, ist mir nicht bekannt. Es lagern meist neuere Versionen von Erweiterungen in der sog. Sandbox.
    Beispiel :
    https://addons.mozilla.org/de/firefox/add…-plus/versions/ hier die Version 0.3.8.6pre.110303a

    Man kann sie herunterladen, sie ist aber noch nicht durch Addons Mozilla freigegeben.
    Liste doch mal deine installierten Erweiterungen auch. Ggf. kann man dir dein ungutes Gefühl nehmen.