Alcune tra le estensioni più famose di Firefox possono essere veicoli di attacchi attraverso l’esecuzione di codice dannoso sfruttandone le vulnerabilità da poco scoperte.

Sono stati Ahmet Buyukkayhan e William Robertson, ricercatori di sicurezza, ad aver parlato della vulnerabilità di Firefox in occasione dell’evento che si è tenuto dal 20 Marzo al 1 Aprile a Singapore, il Black Hat Asia.

Buyukkayhan e Robertson hanno pubblicato un documento che spiega nel dettaglio in cosa consiste la vulnerabilità delle estensioni, ed in che modo possano essere sfruttate fino a sottrarre dati sensibili dell’utente. Firefox non “isola” le varie estensioni utilizzate: questa vulnerabilità permette agli add-on malevoli di confondersi, lanciando attacchi che risultano molto difficili da individuare tramite i metodi di analisi correnti.

Tra le estensioni che presentano questa grave falla di sicurezza, vi sono anche le 10 più popolari del noto browser, disponibili sul sito ufficiale di Mozilla: Video DownloadHelper, Greasemonkey, Firebug e NoScript possono essere sfruttate da altre estensioni malevole, sottraendo cookie del browser o accedendo a pagine web non sicure. AdBlock Plus, invece, si conferma un add-on sicuro, non presentando alcuna vulnerabilità.

Mozilla fa sapere di essere già al lavoro su una completa rielaborazione delle modalità in cui il browser gestisce le estensioni. Nel frattempo, i due ricercatori consigliano agli sviluppatori Firefox di modificare il processo di revisione degli add-on, in modo tale da poterli identificare subito e dunque mantenere basso il rischio che le loro vulnerabilità possano essere sfruttate.