安全研究人员发现(*1),NoScript、Firebug、Video DownloadHelper、Greasemonkey
和 FlashGot Mass Down 等最流行的 Firefox 扩展( Adblock Plus 除外)都包含了
可利用的漏洞,允许攻击者开发的扩展通过调用其它扩展的功能而隐藏其恶意行为,
降低被发现的几率。
漏洞与 Firefox 的扩展架构未能隔离扩展有关,它让所有 JavaScript 扩展共享相同
的 JavaScript 命名空间,共享的命名空间让其它扩展能读写其它扩展定义的全局变量,
调用或覆写其它全局函数,修改实例化对象。
研究人员称,攻击者可以诱骗用户安装恶意扩展,然后恶意扩展可以通过调用浏览器安
装的其它流行扩展去窃取 cookies,控制或访问文件系统,或打开攻击者选择的网址。
研究人员开发的概念验证原型还通过了 Mozilla 的审核。
Firefox 产品副总裁在一份声明中表示,它的新扩展 API WebExtensions 提供了更好
的安全功能。
*1 NoScript and other popular Firefox add-ons open millions to new attack
http://arstechnica.com/?p=859923
http://www.solidot.org/story?threshold=0&mode=nested&sid=47756