安全研究人員發現(*1),NoScript、Firebug、Video DownloadHelper、Greasemonkey
和 FlashGot Mass Down 等最流行的 Firefox 擴展( Adblock Plus 除外)都包含了
可利用的漏洞,允許攻擊者開發的擴展通過調用其它擴展的功能而隱藏其惡意行為,
降低被發現的幾率。
漏洞與 Firefox 的擴展架構未能隔離擴展有關,它讓所有 JavaScript 擴展共享相同
的 JavaScript 命名空間,共享的命名空間讓其它擴展能讀寫其它擴展定義的全局變量,
調用或覆寫其它全局函數,修改實例化對象。
研究人員稱,攻擊者可以誘騙用戶安裝惡意擴展,然後惡意擴展可以通過調用瀏覽器安
裝的其它流行擴展去竊取 cookies,控制或訪問文件系統,或打開攻擊者選擇的網址。
研究人員開發的概念驗證原型還通過了 Mozilla 的審核。
Firefox 產品副總裁在一份聲明中表示,它的新擴展 API WebExtensions 提供了更好
的安全功能。
*1 NoScript and other popular Firefox add-ons open millions to new attack
http://arstechnica.com/?p=859923
http://www.solidot.org/story?threshold=0&mode=nested&sid=47756