Sicherheitslücken in Add-ons gefährden Firefox-Anwender

Sicherheitsexperten haben in mehreren populären Firefox-Erweiterungen Sicherheitsprobleme gefunden. Sie warnen, dass der Einsatz von Plug-ins die Sicherheit des ganzen Systems in Frage stellen kann.

Ein Grund für die Beliebtheit von Firefox ist die Möglichkeit, den Browser über Add-ons zu erweitern. Manche wie NoScript erhöhen sogar die Sicherheit beim Surfen. Das grundsätzliche Problem ist jedoch, dass es keine definierte Grenze zwischen Browser und Add-ons gibt. Somit kann eine Sicherheitslücke in einer Firefox-Erweiterung das gesamte System kompromittieren.  Das wird noch durch die Tatsache begünstigt, dass die Entwickler von Add-ons dies häufig nur nebenbei als Hobby betreiben und in Security-Dingen weniger firm als die Browser-Entwickler sind.

Einem Bericht zufolge haben Sicherheitsexperten dieses Problem jetzt auf einer Konferenz in Indien aufgegriffen und unter anderem mit 0day-Exploits in mehreren beliebten Firefox-Erweiterungen demonstriert. Von kritischen Sicherheitslücken betroffen sind demnach die RSS-Reader Sage bis Version 1.4.3 und InfoRSS 1.1.4.2 sowie das Social Networking Add-on Yoono 6.1.1.

Siehe dazu auch:

• Firefox 3.6 soll undokumentiertes Installieren von Add-ons erschweren auf heise Security