Im Rahmen der SecurityByte & OWASP AppSec Conference haben Sicherheitsexperten verschiedene Zero-Day-Exploits für mehrere Firefox-Erweiterungen vorgestellt. 'Net Security' spricht hierbei von teils weitreichenden Folgen.

Die beiden Sicherheitsexperten Roberto Suggi Liverani und Nick Freeman haben sich zu diesem Thema auf der Konferenz in Indien ausgelassen. Eine zentrale Problematik sei es, dass Mozilla keinen Sicherheitsmechanismus im Hinblick auf die eingesetzten Erweiterungen verwende.

Im Klartext bedeutet dies, dass der Firefox den Addons ohne Einschränkung vertraut. Hierbei soll es grundsätzlich möglich sein, dass eine Erweiterung eine andere Erweiterung verändern könnte. Bei den entdeckten Schwachstellen handle es sich um plattformunabhängige Lücken, die im schlimmsten Fall dazu verwenden werden könnten, um die vollständige Kontrolle über das System zu erlangen.

Von diesen Schwachstellen sind den Experten zufolge die Addons Sage 1.4.3, InfoRSS 1.1.4.2 und Yoono 6.1.1 sowie die jeweiligen älteren Versionen betroffen.

Erst kürzlich teilte die Web-Security-Firma Cenzic mit, dass die Hälfte der in den ersten sechs Monaten dieses Jahres gefundenen Browser-Sicherheitslücken auf das Konto des Mozilla-Browsers Firefox gehen.