(function() { (function(){function c(a){this.t={};this.tick=function(a,c,b){var d=void 0!=b?b:(new Date).getTime();this.t[a]=[d,c];if(void 0==b)try{window.console.timeStamp("CSI/"+a)}catch(l){}};this.tick("start",null,a)}var a,e;window.performance&&(e=(a=window.performance.timing)&&a.responseStart);var h=0=b&&(window.jstiming.srt=e-b)}if(a){var d=window.jstiming.load;0=b&&(d.tick("_wtsrt",void 0,b),d.tick("wtsrt_","_wtsrt", e),d.tick("tbsd_","wtsrt_"))}try{a=null,window.chrome&&window.chrome.csi&&(a=Math.floor(window.chrome.csi().pageT),d&&0=c&&window.jstiming.load.tick("aft")};var f=!1;function g(){f||(f=!0,window.jstiming.load.tick("firstScrollTime"))}window.addEventListener?window.addEventListener("scroll",g,!1):window.attachEvent("onscroll",g); })();

Monday, December 24, 2007
Add-on Firefox Jadi Vektor Serangan Kejahatan


Kini sepertinya semua pengembangan browser Firefox tidak selalu bagus. Peneliti keamanan di Indiana, AS, menemukan bahwa proses yang digunakan untuk meng-update beberapa add-on tersebut secara otomatis muncul dengan kelemahan, mungkinkan hacker kriminal menahan panggilan browser tersebut ke developer untuk melihat kemungkinan tersedianya versi baru. Lebih buruk lagi, add-on paling rentan tidak berasal dari vendor yang belum terkenal; justru dari situs ternama seperti Google, Yahoo, Facebook, dan LinkedIn.

Ekstensi untuk Firefox berisi alamat Internet hard-coded untuk update. Sementara itu, Mozilla sediakan hosting gratis untuk update pada addons.mozilla.org, karena banyak developer memilih berbagai alasan untuk melayani update tersebut dari server berdasarkan pengontrolan mereka. Seperti diketahui server pada Mozilla semuanya menggunakan protokol aman https://, tetapi sejak proses enkripsi membutuhkan lebih banyak resource, banyak developer mengoptimalkan penggunaan http:// kurang aman dan lebih sedikit intensivitas resource. Tempat masalah berada.

Blog peneliti Christopher Soghoian mendeskripsikan skenario di mana user nirkabel dalam Internet café mengaktifkan browser Firefox. User kalangan rumah yang tidak mengubah password standarnya pada router nirkabel lantas juga terjangkit. Firefox secara berkala mengecek terjadinya update server tambahan tersebut untuk meneliti jika muncul penundaan update dan secara umum memberikan notifikasi kepada user.

Add-on pengguna protokol aman http:// tidak terjangkit; sehingga kalangan kriminal tidak dapat menahan terjadinya transmisi terenkripsi. Bagaimanapun, add-on pengguna protokol http:// yang kurang aman terbuka untuk serangan melalui perantara, di mana hacker kriminal menahan transmisi dan bahkan mengganti update berkode malicious. Seperti dikutip dari News.com, kini Firefox menyarankan user menginstal update, bukan pemicu update agar muncul tepat waktu. Contohnya, update Google Toolbar yang menginstal secara otomatis.


Waspadalah ketika anda berniat untuk menginstall add-on ke Firefox anda.
Ferry Herlambang

Dari situs:
http://www2.telkom.net/index.php?option=com_content&task=view&id=2188&Itemid=35



posted by FerryHZ at 12:16 PM | Permalink |


0 Comments: