À l'occasion de la conférence Black Hat Asia, des chercheurs de l'université Northeastern ont présenté une vulnérabilité dite extension-reuse (PDF) et permettant de lancer des attaques silencieuses via le navigateur Firefox et les extensions.

Firefox-nouveau-logo À Threatpost, un des chercheurs à l'origine de cette découverte explique qu'une extension en apparence inoffensive peut être ajoutée au navigateur Firefox, puis s'appuyer sur une deuxième extension légitime déjà présente afin d'implanter un malware sur l'ordinateur. Pour cela, elle va faire appel à des fonctions présentes dans l'extension légitime, ce qui n'aura pas été décélé lors des contrôles de validation. La mécanique a été testée sur Windows et OS X.

Une analyse de 2 000 extensions Firefox a montré que plusieurs extensions populaires parmi lesquelles NoScript, Video DownloadHelper, GreaseMonkey ou encore FlashGot Mass Donwloader sont affectées (pas Adblock Plus qui est la plus populaire de toutes). Elles ont été téléchargées par des millions d'utilisateurs. Le souci est que ce problème est inhérent à la manière dont Firefox gère les extensions, et actuellement avec un défaut de sandbox.

L'alerte est à corréler avec le modèle XPCOM (Cross-Platform Component Object Model ; en cours de dépréciation) de Mozilla qui permet aux extensions d'avoir accès à des ressources sensibles du système, bien au-delà de l'historique de navigation ou des cookies.

Reste que Mozilla fait sa mue au niveau des extensions en s'orientant vers les APIs WebExtensions, qui sont d'ores et déjà disponibles dans Firefox, et offrent par nature une plus grande sécurité qu'avec le modèle traditionnel des modules complémentaires de ce navigateur.

Vice-président de Firefox chargé des produits, Nick Nguyen souligne que les WebExtensions ne sont pas vulnérables à l'attaque présentée par les chercheurs de l'université Northeastern. Il ajoute que dans le cadre du support de l'architecture multi-processus (e10s), les extensions Firefox seront exécutées dans un environnement de sandbox.

Ces évolutions d'importance que sont les WebExtensions et le multi-processus sont en cours de finalisation pour mi-2016.