O pesquisador Christopher Soghoian, da Universidade de Indiana, descobriu uma falha não comum que afeta várias extensões largamente usadas do Firefox, incluindo a barra de ferramentas do Google.
De acordo com Soghoian, um atacante pode entrar como intermediário nas ações das extensões em redes wireless públicas, para fazê-las baixarem arquivos maliciosos para a máquina do usuário, no lugar de atualizações legítimas. Extensões que usam o site oficial da Mozilla para atualizações estão protegidas, pois o site addons.mozilla.org utiliza SSL.
Ataques de desvio de conexão são inúteis em servidores com SSL, de acordo com Sogholan, pois o navegador rejeitará a conexão vinda do falso servidor de atualização, já que o certificado SSL terá informações diferentes das apresentadas pelo servidor.
Embora esta falha de segurança não necessariamente represente um problema para o Firefox, Sogholan destaca que as limitações de assinatura digital do navegador não ajudam. "A funcionalidade de assinatura digital do Firefox é limitada", segundo Sogholan.
"A principal diferença é que uma extensão não assinada digitalmente mostrará apenas a expressão 'não assinada' quando for instalada". Em resposta ao problema de segurança das extensões, os desenvolvedores do Firefox incluíram uma notificação de segurança para lembrar aos desenvolvedores de extensões a importância de assinaturas digitais.
Mais informações: ArsTechnica
