Gerade erst hatten wir über den Chrome und deren Erweiterungen Chrome Currency Converter, Web Timer, User-Agent Switcher, Better History, 4chan Plus und Hide My Adblocker berichtet. Da haben Sicherheitsforscher die Erweiterungen für den Firefox unter die Lupe genommen und davor gewarnt, dass man mit Hilfe von einer weiteren Erweiterung durchaus Schad-Code auf den Rechner schleusen kann.
Getestet wurden 2000 Erweiterungen. Davon war eine Vielzahl anfällig. So zum Beispiel die beliebten Add-Ons NoScript und auch GraseMonkey.
Buyukkayhan und Robertson, die dies untersuchten sagten aber, dass es bisher noch zu keinen auffälligen Übergriffen gekommen sein soll.
Wird eine Erweiterung installiert und dazu noch eine weitere unauffällig präparierte kann über die anfällige erste Erweiterung der Schad-Code auf den Rechner übertragen werden.
Mozilla selber kennt diese Problematik und hat schon über hundert gefährdete Erweiterungen blockiert.
Mit dem Firefox 48, der im August 2016 erscheinen soll, wird soll sich das Problem dann von selbst beheben. Dann werden die Webextensions freigeschaltet werden, die zur Zeit noch im Alfa-Stadium sind. Diese werden dann in einer Sandbox nebeneinander laufen, ohne dass sie sich miteinander verbinden können. Was beim Chrome und Microsoft Edge jetzt schon Standard ist.
Wer mehr darüber wissen möchte hier eine PDF (Direktdownload) von Ahmet Buyukkayhan und William Robertson.
