De mogelijkheid om extensies en uitbreidingen te installeren is een voorname reden voor de populariteit van Firefox, maar deze uitbreidbaarheid brengt de opensource browser ook in gevaar, zo hebben onderzoekers ontdekt. Tijdens de SecurityByte & OWASP AppSec Conferentie in India demonstreerden twee security consultants het gevaar van kwetsbare Firefox extensies. Het probleem wordt vergroot doordat Mozilla geen beveiligingsmodel voor extensies heeft en Firefox alle code van extensies vertrouwt. Er zijn daarnaast geen "grenzen" tussen extensies, waardoor die stilletjes de werking van een andere extensie kunnen aanpassen.

De lekke extensies bevinden zich niet op een specifiek bepaald platform en kunnen een aanvaller volledige controle over het systeem geven. Ondanks het ontbreken van een beveiligingsmodel, vinden de onderzoekers toch dat mensen de zwakste schakel in de keten zijn. Veel add-on ontwikkelaars beschouwen het ontwikkelen als hobby en zijn zich mogelijk niet bewust hoe gevaarlijk een kwetsbare extensie is.

Controle
Mozilla laat extensies wel controleren, maar deze testers hoeven niet veel van webapplicatie security te weten en volgen alleen de richtlijnen voor kwaadaardige extensies. Daardoor weten lekke extensies eenvoudig door de controle heen te glippen. De onderzoekers onthulden tijdens de conferentie verschillende zero-day lekken in drie extensies die bij elkaar 30 miljoen downloads hebben. Het gaat om Sage 1.4.3, InfoRSS 1.1.4.2 en Yoono 6.1.1, maar de afgelopen maanden hebben de onderzoekers ook nog in vijf andere extensies lekken aangetroffen.

Wie met een kwetsbare extensie een kwaadaardige website bezoekt, laat aanvallers willekeurige code uploaden en uitvoeren, bijvoorbeeld Reverse VNC, waarmee volledige controle over het systeem mogelijk is. Hieronder een interview met één van de onderzoekers.