Sicherheitslücken in NoScript

Boersenfeger

Heise.online berichtet von einer Sicherheitslücke in der Whitelist von NoScript.

Zitat

Das fand ein Sicherheitsforscher heraus, als er in der Whitelist von NoScript den Eintrag googleapis.com fand, der auf die Google Cloud verweist. In dieser Liste finden sich Domains wieder, denen NoScript von Werk aus vertraut – dabei werden gleichzeitig auch alle jeweiligen Subdomains als vertrauenswürdig eingestuft.
Der Sicherheitsforscher setzte sich mit dem NoScript-Entwicklern in Verbindung, welche innerhalb weniger Stunden eine gepatchte Version nachreichten. In dieser haben sie den entsprechenden Eintrag auf ajax.googleapis.com geändert. An dieser Stelle finden sich ausschließlich von Google geprüfte Daten.

http://www.heise.de/security/meldu…er-2733372.html
Helpnet.security hat eine weitere Lücke publik gemacht:

Zitat

Bryant discovered that the whitelist automatically includes all subdomains (if they are not preceded by http(s)://) of the trusted domains. Also, after checking each default trusted domain he also discovered that one of them - zendcdn.net - had expired!
So he bought it for less than $11, and he pointed it to a subdomain containing a small JavaScript payload - and NoScript didn't block it. An attacker could have just as easily done the same and used a malicious payload.

Zitat

...Both researchers notified Giorgio Maone, the developer of NoScript, of this weaknesses. He reacted swiftly, and removed the zendcdn.net domain from the plugin's default whitelist, and changed the googleapis.com domain on it to ajax.googleapis.com.

http://www.net-security.org/secworld.php?id=18579 (Englisch)
Aber ..

Zitat

But the plugin still whitelists automatically all subdomains of the domains on the list, and effectively still exposes so much surface area to attack.

Man sollte also alle Whitelist-Einträge löschen, denen man nicht vertraut bzw. die man nicht selbst hinzugefügt hat...
Oder man wechselt auf uMatrix...
Artikel im Forum dazu:
https://www.camp-firefox.de/forum/viewtopic.php?f=4&t=112827
Edit: Link angepasst...

Sören Hentzschel

Woran erinnert dieser Ansatz mit der standardmäßigen Whitelist… Akzeptable Werbung in Adblock Plus? Konsequenterweise müssten nun genau die gleichen Leute NoScript deinstallieren (sofern entsprechende Leute beide Add-ons verwenden respektive verwendet hatten).

Palli

Ich weiß nicht wo da eine Sicherheitslücke sein soll, ohne NoScript würde der Code ja auch ausgeführt.

Boersenfeger

habe den Link verbessert, der zeigte auf uBlock, richtig ist aber uMatrix... und ja, ich habe konsequenterweise schon vor längerem beide Erweiterungen ersetzt...
@ Palli: imho ist es ein Unterschied, ob eine Sicherheitserweiterung etwas erlaubt/bzw. ermöglicht, was seiner Aufgabe widerspricht, oder ob ich diese Erweiterung nicht installiert habe. Es mag hinten das Gleiche herauskommen...
Edit: Tippfehler korrigiert

Sören Hentzschel

Richtig, ich sehe hier auch einen ganz gewaltigen Unterschied. Beim Einsatz von solchen Tools geht es vor allem um eines: um Vertrauen. Wer NoScript einsetzt, der vertraut darauf, dass Scripts blockiert werden, sofern sie nicht vom Nutzer selbst erlaubt worden sind. Und wenn man auf eine Sicherheit vertraut, die nicht gegeben ist, ist das ein Unterschied als wenn man von einem Problem betroffen ist, wogegen überhaupt keine Maßnahmen ergriffen worden sind, da vertraut man auf kein Tool. Sich in einer falschen Sicherheit zu sehen, sich nicht angreifbar zu fühlen, ist oft sogar gefährlicher als angreifbar zu sein und sich dessen aber auch bewusst zu sein.

camel-joe

Hallo,

ich bin irritiert, denn die Einträge, denen NoScript von Werk aus vertraut sind doch die ausgegrauten Einträge, oder nicht? Das trifft bei mir aber weder auf googleapis.com noch ajax.googleapis.com zu. Zwar ist der Eintrag ajax.googleapis.com vorhanden, aber auch nur, weil ich ihn manuell hinzugefügt habe.