Sur Firefox, toutes les extensions ne bénéficient pas d'un isolement complet en mode sandbox. En effet, il est possible à un hackeur de concevoir son propre add-on dissimulant une attaque faisant elle-même appel à une fonctionnalité d'autres extensions sur le navigateur précédemment installées.
A l'occasion du sommet Black Hat qui s'est tenu à Singapour, une équipe explique que neuf des dix extensions les plus populaires sont concernées. Selon Ars Technica, qui rapporte l'information, nous retrouvons, notamment : Video DownloadHelper, Firebug, NoScript, GreaseMonkey ou encore Web of Trust.
Puisque ces extensions malicieuses s'appuient sur d'autres add-ons de confiance, elles sont donc plus difficiles à détecter. Le hackeur est en mesure de récupérer des cookies, d'accéder et de contrôler le système de fichiers, ou encore d'ouvrir certaines pages Web.
Toutefois, pour infecter une machine le processus n'est pas évident. Il faudra d'abord s'assurer que la victime a non seulement installé l'extension frauduleuse mais aussi suffisamment de modules vulnérables pour orchestrer une attaque.
Reste à savoir si Mozilla saura rectifier le tir, notamment en obligeant les éditeurs à corriger leurs add-ons respectifs.
