Firefox扩展程序让上百万用户面临攻击的危险

安全研究人员宣称NoScript以及其他很受欢迎的Firefox扩展程序让上百万用户暴露于一种新式的安全漏洞。一旦被利用，可以让攻击者执行恶意代码并盗取敏感数据。这个安全漏洞就是Firefox扩展程序之间相互沟通的方式。SlashGear的一篇报道称，“问题在于这些扩展程序不是在沙盒环境中运行，实际上启用了的扩展程序可以互相访问数据和函数。这意味着，那些以扩展程序为名隐藏自己的恶意程序可以利用其他扩展程序访问系统文件的功能，或者利用另外一个扩展程序的重定向功能将用户重定向到一个特殊的网页，例如钓鱼欺诈网页。在Mozilla的自动安装检测程序看来，这些狡猾的扩展程序跟平常的扩展程序没什么区别，因为它们本身并不会做什么特别的事情。

Firefox产品副经理承认了上面所说的安全漏洞。

“由于存在这样的安全漏洞，我们要使核心产品以及扩展程序平台向更加安全的方向发展。今天Firefox的WebExtentsion API比传统的扩展程序更加安全。在亚洲黑帽大会上提出的攻击对WebExtension API也是无效的。我们将开始让Firefox扩展程序在沙盒环境中运行，以防止它们共享代码。”