Suositusta NoScript-selainlaajennoksesta löytyi vakava haavoittuvuus
Suositusta NoScript-selainlaajennoksesta on löytynyt vakava haavoittuvuus. Haavoittuvuus mahdollistaa haitallisten JavaScript-skriptien ajamisen laajennoksesta välittämättä.
NoScript on selainlaajennos, joka estää oletuksena kaikkien JavaScript-skriptien ajamisen, ellei käyttäjä ole erikseen kertonut luottavansa sivustoon. Todellisuudessa NoScript sallii skriptien ajamisen useilla suosituilla sivustoilla ja useista eri CDN:istä (Content Delivery Network, hajautettu sisällönjakelu, palvelinverkko joka jakaa dataa useista eri keskuksista ympäri maailman).
Pienempi ongelma on se, että joitain oletuksena sallituista sivustoista saatetaan lopettaa, jolloin sen osoitteesta tulee vapaata riistaa. Tällöin kuka tahansa voi rekisteröidä kyseisen osoitteen ja piilottaa sinne haitallisia skriptejä.
Isompi ongelma on puolestaan se, että NoScript sallii myös kaikkien sallittujen sivustojen alasivustot. Yksi oletuksena sallituista sivustoista on googleapis.com, jolloin myös esimerkiksi storage.googleapis.com on automaattisesti sallittu. Tämä tarkoittaa käytännössä sitä, että mikä tahansa sivustolle upotettu JavaScript-skripti ajetaan NoScriptistä huolimatta, jos sivuston tiedostoja säilytetään Googlen pilvipalvelimilla.
NoScriptin kehittäjiä informoitiin asiasta nopeasti, ja laajennoksesta on saatavilla jo uusi, korjattu versio. Kaikkien NoScript-laajennosta käyttävien tulee päivittää laajennos ajantasalle mahdollisimman nopeasti.
Tech Report, NoScript vulnerability allows malicious scripts to run unchecked
Detectify Labs, Using Google Cloud to bypass NoScript
The Hacker Blog, The NoScript misnomer – Why should I trust vjs.zendcdn.net?
