Firefox ha un buco e anche abbastanza grosso. E non c´è scusa che tenga, neanche che per sfruttare la falla bisogna usare Internet Explorer: è un difetto di progettazione, non un baco qualsiasi.
Il problema si presenta solo su Windows ed è principalmente rappresentato dall´URI "firefoxurl://" che viene registrato in Windows durante l´installazione. Quando Internet Explorer incontra un indirizzo di questo tipo carica automaticamente Firefox e gli passa l´indirizzo. Peccato che Firefox si dimentichi di effettuare qualsiasi controllo, lasciando all´indirizzo passato la possibilità di effettuare qualsiasi tipo di operazione tramite JavaScript, sfruttando anche le funzioni avanzate del browser: è possibile addirittura creare un nuovo profilo utente o installare nuove estensioni senza interpellare l´utente.
La falla è sfruttabile solo se si visita un sito web malevolo utilizzando Internet Explorer e quindi non si corrono rischi a navigare utilizzando Firefox, né ci sono problemi per gli utenti Linux e Mac (avevate dubbi al riguardo?).
Al momento della stesura di questo post non ci sono ancora soluzioni ufficiali: occorre cancellare a mano dal registro di sistema di Windows la chiave [HKEY_CLASSES_ROOTFirefoxURL].