Sono state scoperte alcune serie vulnerabilità in diverse estensioni per Firefox. L´allarme, lanciato alla SecurityByte & OWASP AppSec Conference che si è svolta recentemente in India, riguarda non solo Firefox ma tutte le applicazioni di Mozilla che usano le estensioni.
Ci sono anche alcuni add-on molto popolari tra quelli individuati come pericolosi. Il lettore di feed RSS Sage, ad esempio, contiene una falla che permetterebbe ad un aggressore di creare un feed maligno in grado di modificare la whitelist di NoScript, un´estensione molto diffusa e utilizzata dagli utenti come garanzia di sicurezza contro le azioni indesiderate di alcuni siti.
Il problema principale riguarda non tanto le vulnerabilità individuate all´interno delle estensioni, oltre a Sage sono stati trovati buchi anche in InfoRSS e Yoono, ma piuttosto nella gestione delle estensioni da parte di Firefox o dell´applicazione di turno.
I software di Mozilla non effettuano controlli particolari sul codice delle estensioni, lasciando agli add-on la libertà di interagire e modificare l´applicazione e le altre estensioni. In questo modo una vulnerabilità all´interno di un add-on di terze parti può "contagiare" l´applicazione.
La soluzione ottimale sarebbe quella di offrire alle estensioni un ambiente di esecuzione isolato (chiamatelo pure SandBox). Per questo occorre però che l´applicazione (ad esempio Firefox) sia in grado di suddividere il "lavoro" in più processi (stile Chrome, per intenderci). Cosa che non avverrà prima di Firefox 4.0. Non ci resta che aspettare fiduciosi.